Von Techopedia Staff, 10. Mai 2017
Imbiss: Gastgeber Eric Kavanagh bespricht Sicherheit und Berechtigungen mit Dr. Robin Bloor und Vicky Harp von IDERA.
Du bist derzeit nicht angemeldet. Bitte melde dich an oder registriere dich, um das Video zu sehen.
Eric Kavanagh: Okay, meine Damen und Herren, hallo und willkommen zurück. Es ist ein Mittwoch, es ist vier Ost- und in der Welt der Unternehmenstechnologie ist es wieder Zeit für Hot Technologies! Ja in der Tat. Natürlich präsentiert von der Bloor-Gruppe, unterstützt von unseren Freunden bei Techopedia. Das Thema für heute ist wirklich cool: "Besser nach der Erlaubnis fragen: Best Practices für Datenschutz und Sicherheit". Richtig, es ist ein schwieriges Thema, viele Leute reden darüber, aber es ist ein ziemlich ernstes und Ehrlich gesagt wird es von Tag zu Tag ernster. Für viele Organisationen ist dies in vielerlei Hinsicht ein schwerwiegendes Problem. Wir werden darüber reden und wir werden darüber reden, was Sie tun können, um Ihre Organisation vor den schändlichen Charakteren zu schützen, die heutzutage überall zu sein scheinen.
Die heutige Moderatorin ist Vicky Harp, die von IDERA anruft. Sie können IDERA Software auf LinkedIn sehen - Ich liebe die neuen Funktionen auf LinkedIn. Obwohl ich feststellen kann, dass sie auf bestimmte Weise an einigen Fäden ziehen, Ihnen keinen Zugang zu Personen gewähren und versuchen, Sie zum Kauf dieser Premium-Mitgliedschaften zu bewegen. Los geht's, wir haben unseren eigenen Robin Bloor, der sich einwählt - er ist heute tatsächlich in der Gegend von San Diego. Und Sie sind wirklich Ihr Moderator / Analyst.
Also, worüber reden wir? Datenschutzverletzungen. Ich habe diese Information gerade von IdentityForce.com genommen, es ist schon los zu den Rennen. Wir sind im Mai dieses Jahres und es gibt nur eine Menge Datenschutzverletzungen. Es gibt einige wirklich große, natürlich von Yahoo! Es war eine große Sache, und wir hörten natürlich, dass die US-Regierung gehackt wurde. Wir hatten gerade die französischen Wahlen gehackt.
Dies geschieht überall, es geht weiter und es wird nicht aufhören, also ist es eine Realität, es ist die neue Realität, wie sie sagen. Wir müssen wirklich darüber nachdenken, wie wir die Sicherheit unserer Systeme und unserer Daten gewährleisten können. Und es ist ein fortlaufender Prozess, also ist es gerade an der Zeit, über die verschiedenen Probleme nachzudenken, die ins Spiel kommen. Dies ist nur eine unvollständige Liste, aber dies gibt Ihnen einen Überblick darüber, wie prekär die Situation heutzutage mit Unternehmenssystemen ist. Und vor dieser Show sprachen wir in unserem Pre-Show-Banter über Ransomware, die jemanden getroffen hat, den ich kenne, was eine sehr unangenehme Erfahrung ist, wenn jemand Ihr iPhone übernimmt und Geld verlangt, damit Sie wieder auf Ihr Telefon zugreifen können. Aber es passiert, es passiert mit Computern, es passiert mit Systemen, ich habe es neulich gesehen, es passiert mit Milliardären mit ihren Yachten. Stellen Sie sich vor, Sie gehen eines Tages zu Ihrer Yacht und versuchen, alle Ihre Freunde zu beeindrucken. Sie können sie nicht einmal einschalten, weil ein Dieb den Zugang zu den Steuerungen und dem Bedienfeld gestohlen hat. Ich sagte neulich in einem Interview zu jemandem, immer den manuellen Override. Ich mag nicht alle vernetzten Autos - auch Autos können gehackt werden. Alles, was mit dem Internet verbunden ist oder mit einem Netzwerk verbunden ist, das durchdrungen werden kann, kann gehackt werden.
Im Folgenden sind nur einige Punkte aufgeführt, die im Hinblick auf den Zusammenhang mit dem Ernst der Lage zu berücksichtigen sind. Webbasierte Systeme sind heutzutage allgegenwärtig und breiten sich weiter aus. Wie viele Leute kaufen Sachen online? Heutzutage geht es nur noch durch das Dach, deshalb ist Amazon heutzutage eine so mächtige Kraft. Es ist, weil so viele Leute Sachen online kaufen.
Sie erinnern sich also, dass die Leute vor 15 Jahren ziemlich nervös waren, ihre Kreditkarte in ein Webformular einzutragen, um ihre Informationen zu erhalten. Damals lautete das Argument: „Nun, wenn Sie Ihre Kreditkarte einem Kellner bei übergeben Ein Restaurant, dann ist das das Gleiche. “Unsere Antwort lautet also: Ja, es ist das Gleiche. Es gibt all diese Kontrollpunkte oder Zugangspunkte, das Gleiche, eine andere Seite derselben Medaille, auf die Menschen gesetzt werden können in Gefahr, wo jemand Ihr Geld nehmen oder jemand von Ihnen stehlen kann.
Dann erweitert IoT natürlich die Bedrohungslandschaft - ich liebe dieses Wort - um Größenordnungen. Ich meine, denken Sie darüber nach - mit all diesen neuen Geräten überall kann jemand, der sich in ein System hacken kann, das sie kontrolliert, all diese Bots gegen Sie aufbringen und viele, viele Probleme verursachen, das ist also ein sehr ernstes Problem. Wir haben heutzutage eine globale Wirtschaft, die die Bedrohungslandschaft noch weiter ausdehnt. Außerdem gibt es Menschen in anderen Ländern, die auf die gleiche Weise wie Sie und ich auf das Internet zugreifen können und wenn Sie nicht wissen, wie man Russisch spricht, oder eine beliebige Anzahl anderer Sprachen, es wird Ihnen schwer fallen zu verstehen, was passiert, wenn sie sich in Ihr System hacken. Wir haben also Fortschritte bei der Vernetzung und Virtualisierung erzielt, das ist gut so.
Aber ich habe auf der rechten Seite dieses Bildes hier ein Schwert, und der Grund, warum ich es dort habe, ist, dass jedes Schwert in beide Richtungen schneidet. Es ist ein zweischneidiges Schwert, wie man sagt, und es ist ein altes Klischee, aber es bedeutet, dass das Schwert, das ich habe, dir oder mir schaden kann. Es kann auf mich zurückkommen, indem es zurückprallt oder von jemandem, der es nimmt. Es ist tatsächlich eine von Aesops Fabeln - wir geben unseren Feinden oft die Werkzeuge unserer eigenen Zerstörung. Es ist wirklich eine zwingende Geschichte, die mit jemandem zu tun hat, der Pfeil und Bogen benutzt und einen Vogel abgeschossen hat, und der Vogel sah, als der Pfeil aufstieg, dass die Feder eines seiner Geflügelfreunde sich am Rand des Pfeils befand. auf der Rückseite des Pfeils, um ihn zu führen, und er dachte bei sich: „Oh Mann, hier sind meine eigenen Federn, meine eigene Familie wird benutzt, um mich zu Fall zu bringen.“ Das passiert die ganze Zeit, wie Sie hören Statistiken über Sie haben eine Waffe im Haus, der Dieb kann die Waffe nehmen. Nun, das ist alles wahr. Also, ich werfe das hier als Analogie raus, nur um zu bedenken, all diese unterschiedlichen Entwicklungen haben positive und negative Seiten.
Apropos, Container für diejenigen unter Ihnen, die wirklich auf dem neuesten Stand des Enterprise Computing sind. Container sind die neueste Technologie, die neueste Art der Bereitstellung von Funktionalität. Sie sind die Verbindung von Virtualisierung und serviceorientierter Architektur, zumindest für Microservices sehr interessantes Zeug. Sie können Ihre Sicherheitsprotokolle und Ihre Anwendungsprotokolle und Ihre Daten und so weiter sicher verschleiern, indem Sie Container verwenden, und das verschafft Ihnen einen zeitlichen Vorsprung, aber früher oder später werden die Bösen das herausfinden, und Dann wird es noch schwieriger, zu verhindern, dass sie Ihre Systeme ausnutzen. Es gibt also eine globale Belegschaft, die das Netzwerk und die Sicherheit verkompliziert und von der aus sich Benutzer anmelden.
Wir haben die Browser-Kriege, die immer weiter gehen und ständige Arbeit erfordern, um die Dinge zu aktualisieren und den Überblick zu behalten. Wir hören immer wieder von den alten Microsoft Explorer-Browsern, wie sie gehackt und dort verfügbar waren. Heutzutage gibt es also mehr Geld für das Hacken zu verdienen, es gibt eine ganze Branche, das hat mir mein Partner Dr. Bloor vor acht Jahren beigebracht - ich habe mich gefragt, warum wir so viel davon sehen, und er hat daran erinnert Für mich ist es eine ganze Branche, die sich mit Hacking beschäftigt. Und in diesem Sinne ist die Erzählung, die eines meiner am wenigsten bevorzugten Worte über Sicherheit ist, wirklich sehr unehrlich, weil die Erzählung Sie in all diesen Videos und in jeder Art von Berichterstattung über Hacker zeigt, die einen Typen in einem Kapuzenpulli sitzen In seinem Keller in einem dunkel beleuchteten Raum ist das überhaupt nicht der Fall. Das ist überhaupt nicht repräsentativ für die Realität. Es sind einsame Hacker, es gibt nur sehr wenige einsame Hacker, die da draußen sind und Ärger verursachen - sie werden keine großen Ärger verursachen, aber sie können eine ganze Menge Geld verdienen. Was also passiert, ist, dass die Hacker in Ihr System eindringen und diesen Zugang dann an jemanden verkaufen, der sich umdreht und ihn an jemanden verkauft. Irgendwo später nutzt jemand diesen Hack aus und nutzt Sie aus. Und es gibt unzählige Möglichkeiten, gestohlene Daten auszunutzen.
Ich habe mich sogar gewundert, wie wir dieses Konzept verherrlicht haben. Sie sehen diesen Begriff überall, "Wachstum hacken", als wäre es eine gute Sache. Wachstumshacking, wissen Sie, Hacking kann eine gute Sache sein, wenn Sie versuchen, für die Guten zu arbeiten, um sozusagen in ein System zu hacken, wie wir es immer wieder mit Nordkorea und deren Raketenstarts zu tun haben und möglicherweise gehackt werden. das ist gut. Aber Hacken ist oft eine schlechte Sache. Jetzt verherrlichen wir es, fast wie Robin Hood, als wir Robin Hood verherrlichten. Und dann ist da noch die bargeldlose Gesellschaft, etwas, das offen das Tageslicht von mir angeht. Alles, was ich denke, wenn ich das höre, ist: „Nein, bitte tu es nicht! Bitte nicht! “Ich möchte nicht, dass unser gesamtes Geld verschwindet. Dies sind also nur einige Punkte, die Sie berücksichtigen sollten, und es ist wieder ein Katz-und-Maus-Spiel. es wird niemals aufhören, es wird immer einen Bedarf an Sicherheitsprotokollen und an der Weiterentwicklung von Sicherheitsprotokollen geben. Und um Ihre Systeme zu überwachen, um zu wissen und zu erkennen, wer da draußen ist, mit dem Verständnis, dass es sogar ein Insider-Job sein könnte. Also, es ist ein fortwährendes Problem, es wird für einige Zeit ein fortwährendes Problem sein - machen Sie keinen Fehler.
Und damit übergebe ich es Dr. Bloor, der uns einige Gedanken zur Sicherung von Datenbanken mitteilen kann. Robin, nimm es weg.
Robin Bloor: OK, einer der interessanten Hacks, ich glaube, es ist vor ungefähr fünf Jahren passiert, aber im Grunde war es ein Kartenverarbeitungsunternehmen, das gehackt wurde. Und eine große Anzahl von Kartendetails wurde gestohlen. Aber das Interessante daran war für mich die Tatsache, dass es sich um die Testdatenbank handelte, in die sie tatsächlich gelangt waren, und es war wahrscheinlich so, dass sie große Schwierigkeiten hatten, in die tatsächliche, reale Datenbank der Verarbeitungskarten zu gelangen. Aber Sie wissen, wie es mit Entwicklern ist, sie nehmen einfach einen Ausschnitt aus einer Datenbank und schieben ihn dort hinein. Es hätte viel mehr Wachsamkeit geben müssen, um das zu stoppen. Aber es gibt viele interessante Hackergeschichten, es macht in einem Bereich, es macht ein sehr interessantes Thema.
Also werde ich auf die eine oder andere Weise tatsächlich einige der Dinge wiederholen, die Eric gesagt hat, aber Datensicherheit kann man sich leicht als statisches Ziel vorstellen. Es ist einfacher, nur weil es einfacher ist, statische Situationen zu analysieren und dann Abwehrkräfte einzusetzen, Abwehrkräfte dort, aber das ist es nicht. Es ist ein sich bewegendes Ziel und das ist eines der Dinge, die den gesamten Sicherheitsraum definieren. Es ist nur so, wie sich die gesamte Technologie entwickelt, auch die Technologie der Bösen. Kurzer Überblick: Datendiebstahl ist nichts Neues, in Wirklichkeit ist Datenspionage Datendiebstahl, und das ist, glaube ich, schon seit Tausenden von Jahren so.
Der größte Datenraub in dieser Hinsicht waren die Briten, die die deutschen Codes und die Amerikaner, die die japanischen Codes gebrochen haben, und in beiden Fällen haben sie den Krieg ziemlich stark verkürzt. Und sie haben nur nützliche und wertvolle Daten gestohlen, es war natürlich sehr schlau, aber wissen Sie, was gerade passiert, ist in vielerlei Hinsicht sehr schlau. Cyber-Diebstahl wurde mit dem Internet geboren und explodierte um 2005. Ich habe mir alle Statistiken angesehen, und als Sie anfingen, wirklich ernst zu werden und auf die eine oder andere Weise bemerkenswert hohe Zahlen ab etwa 2005. Es ist seitdem nur noch schlimmer geworden dann. Viele Akteure, Regierungen, Unternehmen, Hackergruppen und Einzelpersonen sind beteiligt.
Ich bin nach Moskau gegangen - das müssen ungefähr fünf Jahre gewesen sein - und ich habe tatsächlich viel Zeit mit einem Typ aus Großbritannien verbracht, der den gesamten Hacking-Raum erforscht. Und er sagte, dass - und ich habe keine Ahnung, ob dies wahr ist, ich habe nur sein Wort dafür, aber es klingt sehr wahrscheinlich - dass es in Russland so etwas wie das Business Network gibt, eine Gruppe von Hackern, die alle sind Sie kamen aus den Ruinen des KGB. Und sie verkaufen sich selbst, nicht nur, ich bin sicher, die russische Regierung benutzt sie, sondern sie verkaufen sich auch an irgendjemanden, und es wurde gemunkelt, oder er sagte, es wurde gemunkelt, dass verschiedene ausländische Regierungen das Business Network für sich nutzten plausible Leugnung. Diese Typen hatten Netzwerke mit Millionen von kompromittierten PCs, von denen aus sie angreifen konnten. Und sie hatten alle Werkzeuge, die Sie sich vorstellen können.
So entwickelte sich die Technologie des Angriffs und der Verteidigung. Unternehmen sind verpflichtet, auf ihre Daten zu achten, unabhängig davon, ob sie sie besitzen oder nicht. Und das wird in Bezug auf die verschiedenen Vorschriften, die tatsächlich bereits in Kraft sind oder in Kraft treten, immer deutlicher. Und wahrscheinlich verbessert sich, jemand ist auf die eine oder andere Weise, jemand muss die Kosten für das Hacken so tragen, dass er dazu angeregt wird, die Möglichkeit zu schließen. Das ist eines der Dinge, die ich für notwendig halte. Über die Hacker können sie also überall lokalisiert werden. Besonders in Ihrer Organisation - eine Menge genialer Hacks, von denen ich gehört habe, dass jemand die Tür geöffnet hat. Weißt du, die Person, es ist wie in der Bankräuber-Situation, fast immer sagten sie in guten Bankräubereien, dass es einen Insider gibt. Aber der Insider muss nur Informationen preisgeben, daher ist es schwierig, sie zu finden, zu wissen, wer sie waren und so weiter und so fort.
Und es kann schwierig sein, sie vor Gericht zu stellen, denn wenn Sie von einer Gruppe von Menschen in Moldawien gehackt wurden, selbst wenn Sie wissen, dass es diese Gruppe war, wie können Sie dann ein rechtliches Ereignis um sie herum auslösen? Es ist nur so, dass es von Land zu Land keine sehr guten internationalen Vereinbarungen gibt, um die Hacker ausfindig zu machen. Sie teilen Technologie und Informationen; Vieles davon ist Open Source. Wenn Sie Ihren eigenen Virus erstellen möchten, gibt es eine Menge Viren-Kits - komplett Open Source. Und sie verfügen über beträchtliche Ressourcen. Es gab eine Reihe von Geräten, bei denen Botnets in mehr als einer Million Geräten in Rechenzentren, auf PCs usw. kompromittiert wurden. Einige sind rentable Unternehmen, die schon lange bestehen, und dann gibt es Regierungsgruppen, wie ich bereits erwähnte. Wie Eric sagte, ist es unwahrscheinlich, dass dieses Phänomen jemals enden wird.
Das ist also ein interessanter Hack, von dem ich dachte, ich würde ihn erwähnen, weil es ein relativ neuer Hack war. es ist letztes Jahr passiert. Der DAO-Vertrag enthielt eine Sicherheitslücke in Bezug auf die Etherium-Kryptomünze. Es wurde in einem Forum diskutiert und innerhalb eines Tages wurde der DAO-Vertrag gehackt, wobei genau diese Sicherheitsanfälligkeit ausgenutzt wurde. Äther im Wert von 50 Millionen US-Dollar wurde ausgeschöpft, was zu einer unmittelbaren Krise im DAO-Projekt führte und es schloss. Und das Etherium kämpfte tatsächlich darum, den Hacker vom Zugriff auf das Geld abzuhalten, und sie reduzierten seine Einnahme. Es wurde aber auch geglaubt - nicht sicher bekannt -, dass der Hacker vor seinem Angriff tatsächlich den Ätherpreis gekürzt hatte, da er wusste, dass der Ätherpreis zusammenbrechen und auf andere Weise Profit machen würde.
Und das ist, wenn Sie möchten, eine andere Strategie, die die Hacker anwenden können. Wenn sie Ihren Aktienkurs beschädigen können und wissen, dass sie das tun werden, müssen sie nur den Aktienkurs verkürzen und den Hack machen. Es ist also eine Art, dass diese Leute schlau sind, wissen Sie. Und der Preis ist geradezu Diebstahl von Geld, Unterbrechungen und Lösegeld, einschließlich Investitionen, bei denen Sie den Bestand stören und schließen, Sabotage, Identitätsdiebstahl, alle Arten von Betrug, nur um Werbung zu betreiben. Und es handelt sich in der Regel um politisches oder offenkundiges Ausspähen von Informationen, und es gibt sogar Menschen, die davon leben, wie viele Fehler Google, Apple, Facebook oder sogar das Pentagon zu hacken versuchen. Und du hackst einfach; Wenn es erfolgreich ist, holen Sie sich einfach Ihren Preis und es wird kein Schaden angerichtet. Das ist also eine nette Sache, wissen Sie.
Ich könnte genauso gut die Einhaltung und Regulierung erwähnen. Abgesehen von Sektorinitiativen gibt es eine Menge behördlicher Vorschriften: HIPAA, SOX, FISMA, FERPA und GLBA sind alle US-amerikanische Gesetze. Es gibt Standards; PCI-DSS ist ein ziemlich allgemeiner Standard geworden. Und dann gibt es ISO 17799 zum Thema Dateneigentum. Die nationalen Vorschriften unterscheiden sich von Land zu Land, auch in Europa. Und derzeit die DSGVO - die globalen Daten, wofür steht sie? Global Data Protection Regulation, ich denke, es steht für - aber das tritt im nächsten Jahr in Kraft, sagte zu. Und das Interessante daran ist, dass es auf der ganzen Welt gilt. Wenn Sie 5.000 oder mehr Kunden haben, über die Sie personenbezogene Daten haben und die in Europa leben, werden Sie von Europa tatsächlich vor Gericht gestellt, unabhängig davon, ob Ihr Unternehmen seinen Hauptsitz hat oder wo es tätig ist. Und die Strafen, die maximale Strafe beträgt vier Prozent des Jahresumsatzes, was einfach riesig ist. Wenn das in Kraft tritt, wird das eine interessante Wendung für die Welt sein.
Überlegungen zu DBMS-Schwachstellen: Die meisten der wertvollen Daten befinden sich tatsächlich in Datenbanken. Es ist sehr wertvoll, weil wir sehr viel Zeit in die Bereitstellung und Organisation des Systems gesteckt haben. Dies macht es anfälliger, wenn Sie nicht die richtigen DBMS-Sicherheiten anwenden. Wenn Sie solche Maßnahmen planen, müssen Sie natürlich ermitteln, welche anfälligen Daten im gesamten Unternehmen vorhanden sind, wobei zu berücksichtigen ist, dass Daten aus verschiedenen Gründen anfällig sein können. Es können Kundendaten sein, es können aber auch interne Dokumente sein, die für Spionagezwecke usw. von Nutzen sind. Die Sicherheitsrichtlinie, insbesondere in Bezug auf die Zugangssicherheit - die meiner Meinung nach in letzter Zeit sehr schwach war - wird bei neuen Open-Source-Inhalten immer häufiger angewendet, da sie ziemlich solide ist.
Die Kosten einer Sicherheitsverletzung wussten die meisten Menschen nicht, aber wenn man sich tatsächlich anschaut, was mit Organisationen passiert ist, die Sicherheitsverletzungen erlitten haben, stellt sich heraus, dass die Kosten einer Sicherheitsverletzung oft viel höher sind, als man denkt . Das andere, woran Sie denken sollten, ist die Angriffsfläche, da jede Software, die mit Ihrem Unternehmen ausgeführt wird, eine Angriffsfläche darstellt. Das gleiche gilt für alle Geräte und auch für die Daten, unabhängig davon, wie sie gespeichert sind. Es ist alles, die Angriffsfläche wächst mit dem Internet der Dinge, die Angriffsfläche wird sich wahrscheinlich verdoppeln.
Also endlich DBA und Datensicherheit. Datensicherheit ist in der Regel Teil der Rolle des DBAs. Aber es ist auch kollaborativ. Und es muss der Unternehmenspolitik unterliegen, sonst wird es wahrscheinlich nicht gut umgesetzt. Trotzdem denke ich, dass ich den Ball weitergeben kann.
Eric Kavanagh: Okay, lass mich Vicky die Schlüssel geben. Und Sie können Ihren Bildschirm freigeben oder zu diesen Folien wechseln, es liegt an Ihnen, nehmen Sie es weg.
Vicky Harp: Nein, ich werde mit diesen Folien beginnen, vielen Dank. Also, ja, ich wollte mich nur kurz vorstellen. Ich bin Vicky Harp. Ich bin Manager, Produktmanagement für SQL-Produkte bei IDERA und für diejenigen unter Ihnen, die mit uns möglicherweise nicht vertraut sind, hat IDERA eine Reihe von Produktlinien, aber ich spreche hier für die SQL Server-Seite. Daher führen wir Leistungsüberwachung, Sicherheitskonformität, Datensicherung und Verwaltungstools durch - und es ist nur eine Art Auflistung dieser Tools. Und natürlich spreche ich heute über Sicherheit und Compliance.
Der Großteil von dem, worüber ich heute sprechen möchte, sind nicht unbedingt unsere Produkte, obwohl ich beabsichtige, später einige Beispiele dafür zu zeigen. Ich wollte mit Ihnen mehr über die Datenbanksicherheit, einige der Bedrohungen in der Welt der Datenbanksicherheit im Moment, einige Dinge, über die Sie nachdenken müssen, und einige einführende Ideen darüber sprechen, worauf Sie achten müssen, um Ihr SQL zu sichern Serverdatenbanken und auch, um sicherzustellen, dass sie den gesetzlichen Rahmenbedingungen entsprechen, denen Sie möglicherweise unterliegen, wie bereits erwähnt. Es gibt viele verschiedene Vorschriften. Sie arbeiten in verschiedenen Branchen und an verschiedenen Orten auf der ganzen Welt.
Ich möchte mir also einen Moment Zeit nehmen und über den Zustand von Datenverletzungen sprechen - und nicht zu viel von dem wiederholen, was hier bereits besprochen wurde. Ich habe kürzlich diese Intel-Sicherheitsforschungsstudie durchgesehen und über ihre - denke ich Ungefähr 1500 Organisationen, mit denen sie gesprochen haben - sie hatten im Durchschnitt sechs Sicherheitsverletzungen in Bezug auf Datenverluste, und 68 Prozent von ihnen hatten in gewisser Weise Offenlegungspflichten, sodass sie den Aktienkurs beeinflussten oder etwas Kredit machen mussten Überwachung für ihre Kunden oder ihre Mitarbeiter usw.
Einige interessante andere Statistiken sind, dass interne Akteure, die für 43 Prozent von denen verantwortlich waren. Viele Leute denken also sehr viel über Hacker und diese Art von zwielichtigen regierungsnahen Organisationen oder organisiertem Verbrechen usw. nach, aber interne Akteure gehen in einem ziemlich hohen Anteil der Fälle immer noch direkt gegen ihre Arbeitgeber vor. Und diese sind manchmal schwerer zu schützen, weil Menschen berechtigte Gründe haben, auf diese Daten zuzugreifen. Etwa die Hälfte davon waren 43 Prozent Unfallschäden. Zum Beispiel in dem Fall, dass jemand Daten mit nach Hause genommen hat und dann den Überblick über diese Daten verloren hat, was mich zu diesem dritten Punkt führt, nämlich, dass immer noch 40 Prozent der Sicherheitsverletzungen auf physische Medien zurückzuführen sind. Das sind also USB-Sticks, die Laptops der Leute, die eigentlichen Medien, die auf physische Datenträger gebrannt und aus dem Gebäude entfernt wurden.
Wenn Sie darüber nachdenken, haben Sie einen Entwickler, der eine Entwicklungskopie Ihrer Produktionsdatenbank auf seinem Laptop hat? Dann steigen sie in ein Flugzeug und sie steigen aus dem Flugzeug aus, und sie bekommen das aufgegebene Gepäck und ihr Laptop wird gestohlen. Sie haben jetzt eine Datenverletzung. Möglicherweise denken Sie nicht unbedingt, dass der Laptop deswegen genommen wurde, und dass er niemals in der Natur auftaucht. Aber das ist immer noch etwas, was als Sicherheitsverletzung gilt. Es wird eine Offenlegung erforderlich sein. Sie werden alle nachgelagerten Auswirkungen des Verlusts dieser Daten haben, nur weil diese physischen Medien verloren gegangen sind.
Und das andere Interessante ist, dass viele Leute über Kreditdaten nachdenken und Kreditkarteninformationen als die wertvollsten betrachten, aber das ist nicht mehr wirklich der Fall. Diese Daten sind wertvoll, Kreditkartennummern sind nützlich, aber ehrlich gesagt ändern sich diese Nummern sehr schnell, während sich die persönlichen Daten der Menschen nicht sehr schnell ändern. Etwas, was die jüngste, relativ junge Nachricht VTech, ein Spielzeughersteller, mit diesen Spielzeugen aufwies, die für Kinder entwickelt wurden. Und die Leute würden, sie hätten die Namen ihrer Kinder, sie hätten Informationen darüber, wo die Kinder leben, sie hätten die Namen ihrer Eltern, sie hätten Fotos der Kinder. Nichts davon wurde verschlüsselt, weil es nicht als wichtig angesehen wurde. Ihre Passwörter wurden jedoch verschlüsselt. Nun, als die Verletzung unvermeidlich passierte, sagen Sie: „OK, also habe ich eine Liste der Kindernamen, der Namen ihrer Eltern, wo sie leben - all diese Informationen sind da draußen und Sie denken, dass das Passwort war der wertvollste Teil davon? “Es war nicht; Menschen können diese Aspekte in Bezug auf ihre persönlichen Daten, ihre Adresse usw. nicht ändern. Daher sind diese Informationen sehr wertvoll und müssen geschützt werden.
Ich wollte also über einige der aktuellen Ereignisse sprechen und einen Beitrag dazu leisten, wie derzeit Datenverletzungen auftreten. Einer der großen Hotspots der Welt ist derzeit Social Engineering. Die Leute nennen es Phishing, es gibt Identitätswechsel usw., bei denen die Leute Zugang zu Daten bekommen, oft durch interne Akteure, indem sie sie nur davon überzeugen, dass sie Zugang dazu haben sollen. Neulich gab es diesen Google Docs-Wurm, der sich herumgesprochen hat. Und was würde passieren - und ich habe tatsächlich eine Kopie davon erhalten, obwohl ich zum Glück nicht darauf geklickt habe - Sie erhielten eine E-Mail von einem Kollegen mit den Worten: „Hier ist ein Google Doc-Link; Sie müssen darauf klicken, um zu sehen, was ich gerade mit Ihnen geteilt habe. “Nun, in einer Organisation, die Google Text & Tabellen verwendet, ist das sehr konventionell, und Sie werden täglich Dutzende dieser Anfragen erhalten. Wenn Sie darauf geklickt haben, werden Sie um die Erlaubnis gebeten, auf dieses Dokument zugreifen zu dürfen. Vielleicht würden Sie sagen: „Hey, das sieht ein bisschen seltsam aus, aber Sie wissen, es sieht auch echt aus Klicken Sie darauf. “Sobald Sie dies getan haben, haben Sie diesem Drittanbieter Zugriff auf alle Ihre Google-Dokumente gewährt und diesen Link erstellt, damit dieser externe Akteur auf alle Ihre Dokumente in Google Drive zugreifen kann. Dies verschlimmerte sich überall. Es traf Hunderttausende von Menschen in wenigen Stunden. Und dies war im Grunde genommen ein Phishing-Angriff, den Google selbst beenden musste, weil er sehr gut ausgeführt wurde. Die Leute sind darauf hereingefallen.
Ich erwähne hier die SnapChat HR-Verletzung. Dies war nur eine einfache Sache, bei der sich jemand per E-Mail als CEO ausgab und der Personalabteilung sagte: „Sie müssen mir diese Tabelle schicken.“ Sie glaubten ihnen und erstellten eine Tabelle mit 700 verschiedenen Mitarbeitern Die Vergütungsinformationen, ihre Privatadressen usw. haben sie per E-Mail an diese andere Partei gesendet, es handelte sich eigentlich nicht um den CEO. Jetzt waren die Daten veröffentlicht, und alle persönlichen, privaten Informationen ihrer Mitarbeiter standen zur Verfügung und konnten genutzt werden. Also, Social Engineering ist etwas, das ich in der Welt der Datenbanken erwähne, weil dies etwas ist, gegen das Sie versuchen können, sich durch Bildung zu verteidigen, aber Sie müssen sich auch nur daran erinnern, wo immer Sie eine Person haben, die mit Ihrer Technologie interagiert und Wenn Sie sich auf ihr Urteilsvermögen verlassen, um einen Ausfall zu verhindern, fragen Sie viele von ihnen.
Die Leute machen Fehler, die Leute klicken auf Dinge, die sie nicht haben sollten, die Leute fallen auf clevere List herein. Sie können sich sehr bemühen, sie davor zu schützen, aber es ist nicht stark genug. Sie müssen versuchen, die Möglichkeit zu begrenzen, dass Benutzer diese Informationen versehentlich in Ihren Datenbanksystemen weitergeben. Die andere Sache, von der ich erwähnen wollte, dass wir offensichtlich viel reden, ist Ransomware, Botnets, Viren - all diese verschiedenen automatisierten Methoden. Was ich für wichtig halte, um Ransomware zu verstehen, ist, dass es das Gewinnmodell für Angreifer wirklich verändert. In dem Fall, dass Sie von einer Sicherheitsverletzung sprechen, müssen sie in gewisser Weise Daten extrahieren und für sich selbst haben und sie nutzen. Und wenn Ihre Daten dunkel sind, wenn sie verschlüsselt sind, wenn sie branchenspezifisch sind, haben sie möglicherweise keinen Wert dafür.
Bis zu diesem Zeitpunkt hatten die Leute vielleicht das Gefühl, dies sei ein Schutz für sie: „Ich muss mich nicht vor einer Datenverletzung schützen, denn wenn sie in mein System eindringen, haben sie alles, was sie haben werden Ich bin ein Fotostudio und habe eine Liste, wer an welchen Tagen im nächsten Jahr kommen wird. Wen interessiert das? “Nun, es stellt sich heraus, dass Ihnen das wichtig ist. Sie speichern diese Informationen, es sind Ihre geschäftskritischen Informationen. Wenn ein Angreifer Ransomware verwendet, wird er sagen: "Nun, niemand anderes wird mir Geld dafür geben, aber Sie werden es tun." Sie machen sich die Tatsache zunutze, dass sie nicht einmal die Daten herausholen müssen. Sie müssen nicht einmal eine Verletzung haben, sondern nur offensiv mit Sicherheitstools gegen Sie vorgehen. Sie gelangen in Ihre Datenbank, verschlüsseln den Inhalt und sagen dann: „OK, wir haben das Passwort, und Sie müssen uns 5.000 US-Dollar bezahlen, um dieses Passwort zu erhalten, oder Sie haben es einfach nicht diese Daten mehr. "
Und die Leute zahlen. sie müssen das selbst tun. MongoDB hatte vor ein paar Monaten ein riesiges Problem. Ich glaube, es war im Januar, als Ransomware über eine Million MongoDB-Datenbanken, die sie öffentlich im Internet haben, auf der Grundlage einiger Standardeinstellungen in die Knie gezwungen wurde. Und was es noch schlimmer machte, war, dass die Leute bezahlten und andere Organisationen kamen und neu verschlüsselten oder behaupteten, diejenigen gewesen zu sein, die es ursprünglich verschlüsselt hatten. Wenn Sie also Ihr Geld bezahlten, waren sie es, glaube ich Die Leute fragten nach 500 Dollar und sagten: „Okay, ich würde mehr als das bezahlen, um einen Forscher zu bezahlen, der hier reinkommt, um mir dabei zu helfen, herauszufinden, was schief gelaufen ist. Ich bezahle nur die 500 Dollar. “Und sie bezahlten sie nicht einmal an den richtigen Schauspieler, sodass sie von zehn verschiedenen Organisationen angehäuft wurden, die ihnen sagten:„ Wir haben das Passwort “oder„ Wir haben “ Sie haben die Möglichkeit, Ihre freigelassenen Daten freizuschalten. “Und Sie müssten sie alle bezahlen, um sie möglicherweise zum Laufen zu bringen.
Es gab auch Fälle, in denen die Ransomware-Autoren Fehler hatten. Ich meine, wir sprechen nicht davon, dass es sich um eine Situation handelt, in der alles über dem Brett liegt. Selbst wenn es einmal angegriffen wurde, gibt es keine Garantie dafür, dass Sie es sind Wenn Sie alle Ihre Daten zurückerhalten möchten, wird dies zum Teil auch durch waffengestützte InfoSec-Tools erschwert. Die Shadow Brokers sind also eine Gruppe, die Tools der NSA veröffentlicht hat. Es handelte sich um Werkzeuge, die von Regierungsbehörden zum Zwecke der Spionage und der tatsächlichen Bekämpfung anderer Regierungsbehörden entwickelt wurden. Bei einigen dieser Angriffe handelt es sich um sehr bekannte Zero-Day-Angriffe, bei denen die bekannten Sicherheitsprotokolle praktisch nicht mehr zum Einsatz kommen. So gab es beispielsweise in einem der jüngsten Depots von Shadow Brokers eine große Sicherheitslücke im SMB-Protokoll.
Und so können diese Tools, die hier herauskommen, in ein paar Stunden das Spiel in Bezug auf Ihre Angriffsfläche wirklich verändern. Wenn ich also darüber nachdenke, ist Sicherheits-InfoSec auf organisatorischer Ebene eine eigene Funktion, die ernst genommen werden muss. Wann immer wir über Datenbanken sprechen, kann ich es kurz erläutern, Sie müssen als Datenbankadministrator nicht unbedingt genau wissen, was diese Woche mit den Shadow Brokers passiert, aber Sie müssen sich darüber im Klaren sein von diesen verschieben sich, es gibt Dinge, die vor sich gehen, und so, wie sehr Sie Ihre eigene Domain eng und sicher halten, wird es Ihnen wirklich helfen, wenn Dinge unter Ihnen herausgerissen werden.
Daher wollte ich mir hier einen Moment Zeit lassen, bevor ich mich speziell mit SQL Server befasse, um mit unseren Diskussionsteilnehmern ein offenes Gespräch über einige Aspekte der Datenbanksicherheit zu führen. Also, ich bin an diesem Punkt angelangt, einige der Dinge, die wir nicht erwähnt haben, ich wollte über SQL-Injection als Vektor sprechen. Das ist also SQL-Injection, offensichtlich ist es die Art und Weise, wie Leute Befehle in ein Datenbanksystem einfügen, indem sie die Eingaben falsch formatieren.
Eric Kavanagh: Ja, ich habe tatsächlich einen Mann getroffen - ich glaube, es war auf der Basis der Andrews Air Force - vor ungefähr fünf Jahren, einen Berater, mit dem ich auf dem Flur gesprochen habe, und wir haben nur Kriegsgeschichten geteilt - kein Wortspiel beabsichtigt - und er erwähnte, dass er von jemandem mitgebracht worden war, um sich mit einem hochrangigen Militärmitglied zu beraten, und der Typ fragte ihn: „Woher wissen wir, dass Sie gut in dem sind, was Sie tun?“ Und dies und das . Und als er mit ihnen sprach, die er auf seinem Computer verwendet hatte, war er in das Netzwerk gekommen, er verwendete SQL-Injection, um in die E-Mail-Registrierung für diese Basis und für diese Leute zu gelangen. Und er fand die E-Mail-Adresse der Person, mit der er gesprochen hat, und zeigte ihm einfach seine E-Mail-Adresse auf seinem Computer! Und der Typ meinte: "Wie haben Sie das gemacht?" Er sagte: "Nun, ich habe SQL-Injection verwendet."
Also, das ist erst fünf Jahre her und es war auf einem Luftwaffenstützpunkt, oder? Ich meine, im Hinblick auf den Kontext ist dieses Ding immer noch sehr real und es könnte mit wirklich furchterregenden Effekten verwendet werden. Ich meine, ich wäre neugierig auf Kriegsgeschichten, die Robin zu diesem Thema hat, aber all diese Techniken sind immer noch gültig. Sie werden immer noch in vielen Fällen verwendet, und es ist eine Frage der Erziehung, nicht wahr?
Robin Bloor: Nun ja. Ja, es ist möglich, sich gegen SQL-Injection zu verteidigen, indem Sie die Arbeit erledigen. Es ist leicht zu verstehen, warum, als die Idee erfunden und zum ersten Mal verbreitet wurde, es leicht zu verstehen ist, warum sie so verdammt erfolgreich war, weil Sie sie einfach in ein Eingabefeld auf einer Webseite kleben und sie dazu bringen konnten, Daten für Sie zurückzugeben oder zu erhalten es, um Daten in der Datenbank zu löschen, oder irgendetwas - Sie könnten einfach SQL-Code einschleusen, um das zu tun. Aber es ist die Sache, die mich interessiert hat, ist, dass Sie wissen, dass Sie ein wenig analysieren müssen, von jedem eingegebenen Datenelement, aber es ist durchaus möglich zu erkennen, dass jemand versucht, dies zu tun. Und es ist wirklich, ich denke es ist wirklich das, weil die Leute immer noch damit durchkommen, ich meine, es ist nur wirklich seltsam, dass es keinen einfachen Weg gab, das zu bekämpfen. Weißt du, das könnte jeder leicht gebrauchen, ich meine, soweit ich weiß, hat es das nicht gegeben, Vicky, oder?
Vicky Harp: Nun, einige der Hostage-Lösungen, wie SQL Azure, haben meiner Meinung nach ziemlich gute Erkennungsmethoden, die auf maschinellem Lernen basieren. Das werden wir wahrscheinlich in Zukunft sehen, und es wird versucht, die Einheitsgröße für alle zu finden. Ich denke, die Antwort war, dass es nicht eine Größe für alle gibt, aber wir haben Maschinen, die Ihre Größe ermitteln und sicherstellen können, dass Sie dazu passen, oder? Wenn Sie also ein falsches Positiv haben, liegt es daran, dass Sie tatsächlich etwas Ungewöhnliches tun, und nicht daran, dass Sie alles, was Ihre Anwendung jemals tun könnte, sorgfältig durchlaufen und identifizieren mussten.
Ich denke, einer der Gründe, warum es immer noch so produktiv ist, ist, dass die Leute sich immer noch auf Anwendungen von Drittanbietern verlassen und Anwendungen von ISVs und solchen, die im Laufe der Zeit verwischt werden. Sie sprechen also von einer Organisation, die eine technische Anwendung gekauft hat, die im Jahr 2001 geschrieben wurde. Und sie haben sie nicht aktualisiert, weil es seitdem keine größeren funktionalen Änderungen mehr gab, und der ursprüngliche Autor war sozusagen Sie waren keine Ingenieure, sie waren keine Datenbanksicherheitsexperten, sie haben die Dinge in der Anwendung nicht richtig gemacht und sie sind letztendlich ein Vektor. Mein Verständnis ist, dass - ich denke, es war die Zieldatenverletzung, die wirklich große - der Angriffsvektor von einem ihrer Klimaanlagenlieferanten stammte, oder? Das Problem mit diesen Drittanbietern ist, dass Sie, wenn Sie einen eigenen Entwicklungs-Shop besitzen, einige dieser Regeln haben können, und dies generisch tun können, wann immer Sie möchten. In einer Organisation werden möglicherweise Hunderte oder sogar Tausende von Anwendungen mit den unterschiedlichsten Profilen ausgeführt. Ich denke, hier wird maschinelles Lernen ansetzen und uns sehr helfen.
Meine Kriegsgeschichte war lehrreiches Leben. Ich habe einen SQL-Injection-Angriff gesehen, und etwas, das mir noch nie in den Sinn gekommen war, ist die Verwendung von einfach lesbarem SQL. Ich mache diese Dinge, die man verschleierte P SQL-Feiertagskarten nennt. Ich mache das gerne, du machst dieses SQL so verwirrend wie möglich. Es gibt einen verschleierten C ++ - Codewettbewerb, der seit Jahrzehnten läuft, und es ist eine ähnliche Idee. Also, was Sie tatsächlich bekommen haben, war die SQL-Injection, die sich in einem offenen Zeichenkettenfeld befand, die Zeichenkette schloss, das Semikolon einfügte und dann den Befehl exec eingab, der dann eine Reihe von Zahlen hatte und dann im Grunde das verwendete Casting-Befehl zum Umwandeln dieser Zahlen in Binärdateien und zum anschließenden Umwandeln dieser Zahlen in Zeichenwerte und zum anschließenden Ausführen dieser Werte. Es ist also nicht so, als müsste man etwas sehen, das sagt: "Start aus Produktionstabelle löschen". Es wurde tatsächlich in numerische Felder gestopft, was es viel schwieriger machte, es zu sehen. Und selbst wenn Sie es gesehen haben, um festzustellen, was gerade geschah, waren einige echte SQL-Aufnahmen erforderlich, um herauszufinden, was gerade geschah, zu welchem Zeitpunkt die Arbeit natürlich bereits erledigt war.
Robin Bloor: Und eines der Phänomene in der gesamten Hacking-Welt ist, dass, wenn jemand eine Schwäche findet und diese in einer Software steckt, die allgemein verkauft wurde, eines der frühen Probleme ist Als Datenbankkennwort, das Sie bei der Installation einer Datenbank erhalten haben, waren viele Datenbanken nur Standard. Und viele Datenbankadministratoren haben es einfach nie geändert, und deshalb konnten Sie es schaffen, in das Netzwerk zu gelangen. Sie könnten einfach dieses Passwort ausprobieren und wenn es funktioniert, haben Sie gerade im Lotto gewonnen. Und das Interessante ist, dass all diese Informationen sehr effizient und effektiv unter den Hacking-Communities auf Darknet-Websites verbreitet werden. Und sie wissen es. Sie können also ziemlich genau untersuchen, was da draußen ist, ein paar Instanzen finden und automatisch einen Hacking-Exploit darauf ausüben, und sie sind dabei. Und das ist, glaube ich, eine Menge Leute, die zumindest auf der Hut sind Die Peripherie von alledem weiß nicht genau, wie schnell das Hacking-Netzwerk auf Sicherheitslücken reagiert.
Vicky Harp: Ja, das bringt tatsächlich eine andere Sache auf den Tisch, die ich erwähnen wollte, bevor ich weitermache. Das ist der Begriff des Ausfüllens von Anmeldeinformationen, der häufig auftaucht und der besagt, dass Ihre Anmeldeinformationen für irgendjemanden irgendwo gestohlen wurden An jedem Standort wird versucht, diese Anmeldeinformationen auf der ganzen Linie wiederzuverwenden. Wenn Sie also doppelte Kennwörter verwenden, sagen wir mal, wenn Ihre Benutzer es sind, kann möglicherweise jemand über einen scheinbar vollständig gültigen Satz von Anmeldeinformationen auf sie zugreifen. Angenommen, ich habe bei Amazon und bei meiner Bank sowie in einem Forum dasselbe Passwort verwendet und die Forensoftware wurde gehackt. Nun, sie haben meinen Benutzernamen und mein Passwort. Und sie können dann denselben Benutzernamen bei Amazon oder bei der Bank verwenden. Und für die Bank war es ein völlig gültiges Login. Jetzt können Sie schändliche Aktionen über den vollständig autorisierten Zugriff ausführen.
So geht diese Art von wieder auf das zurück, was ich über die internen Verstöße und die internen Verwendungen gesagt habe. Wenn sich in Ihrer Organisation Personen befinden, die für den internen Zugriff dasselbe Kennwort verwenden wie für den externen Zugriff, besteht die Möglichkeit, dass jemand hereinkommt und sich als Sie ausgibt, wenn Sie an einer anderen Stelle verletzt werden, die Sie nicht verwenden weiß nicht mal darüber Bescheid. Und diese Daten werden sehr schnell verbreitet. Es gibt Listen von, ich denke, dass die letzte Ladung, mit der Troy Hunt "mich gepwnt" hat, er sagte, er habe eine halbe Milliarde Anmeldeinformationen, was - wenn man die Anzahl der Menschen auf dem Planeten bedenkt - eine ist wirklich große Anzahl von Anmeldeinformationen, die zum Füllen von Anmeldeinformationen zur Verfügung gestellt wurden.
Deshalb gehe ich etwas tiefer und spreche über die SQL Server-Sicherheit. Jetzt möchte ich sagen, dass ich nicht versuchen werde, Ihnen in den nächsten 20 Minuten alles zu geben, was Sie wissen müssen, um Ihren SQL Server zu sichern. Das scheint eine große Herausforderung zu sein. Zunächst möchte ich also sagen, dass Gruppen und Ressourcen online sind, die Sie auf jeden Fall bei Google finden können. Es gibt Bücher, Best-Practice-Dokumente zu Microsoft und ein virtuelles Sicherheitskapitel für die professionellen Mitarbeiter von SQL Server. Sie sind auf security.pass.org und haben, wie ich glaube, monatliche Webcasts und Aufzeichnungen von Webcasts, um einen Einblick in die wirkliche, gründliche Vorgehensweise bei der SQL Server-Sicherheit zu erhalten. Aber dies sind einige der Dinge, die ich als Datenexperten, als IT-Experten und als Datenbankadministratoren mit Ihnen bespreche. Ich möchte, dass Sie wissen, was Sie über SQL Server-Sicherheit wissen müssen.
Das erste ist also die physische Sicherheit. Wie ich bereits sagte, ist der Diebstahl physischer Medien immer noch sehr verbreitet. Und so ist das Szenario, das ich mit der Dev-Maschine gegeben habe, mit einer Kopie Ihrer Datenbank auf der Dev-Maschine, die gestohlen wird - das ist ein extrem häufiger Vektor, der ein Vektor ist, den Sie kennen und gegen den Sie vorgehen müssen. Dies gilt auch für die Backup-Sicherheit. Wenn Sie Ihre Daten sichern, müssen Sie sie verschlüsselt an einem sicheren Ort sichern. Viele Male, wenn diese Daten, die in der Datenbank wirklich geschützt waren, in die Peripherie gelangen, auf Entwicklungsmaschinen, auf Testmaschinen, werden wir ein bisschen weniger vorsichtig mit dem Patchen, wir werden ein bisschen weniger Vorsicht bei den Menschen, die Zugang dazu haben. Das nächste, was Sie wissen, ist, dass unverschlüsselte Datenbanksicherungen auf einer öffentlichen Freigabe in Ihrem Unternehmen gespeichert sind, die von vielen verschiedenen Personen ausgenutzt werden können. Denken Sie also an die physische Sicherheit und können Sie einfach einen USB-Stick in Ihren Server stecken? Das solltest du nicht zulassen.
Der nächste Punkt, über den Sie nachdenken sollten, ist die Plattformsicherheit, also aktuelle Betriebssysteme und aktuelle Patches. Es ist sehr mühsam zu hören, wie die Leute davon sprechen, auf älteren Windows-Versionen oder älteren SQL Server-Versionen zu bleiben, und denken, dass die einzigen Kosten im Spiel die Kosten für das Lizenz-Upgrade sind, was nicht der Fall ist. Wir sind in Sicherheit, es ist ein Strom, der den Hügel hinuntergeht und mit der Zeit werden immer mehr Exploits gefunden. In diesem Fall aktualisiert Microsoft und andere Gruppen möglicherweise ältere Systeme bis zu einem gewissen Punkt, und schließlich wird der Support eingestellt und sie werden nicht mehr aktualisiert, da dies nur ein endloser Prozess von ist Instandhaltung.
Sie müssen also auf einem unterstützten Betriebssystem und auf dem neuesten Stand der Patches sein, und wir haben kürzlich wie bei Shadow Brokers festgestellt, dass Microsoft in einigen Fällen Einblick in bevorstehende schwerwiegende Sicherheitsverletzungen hat, bevor diese auftreten vor der Veröffentlichung veröffentlicht werden, lassen Sie sich also nicht durcheinander bringen. Ich nehme mir die Ausfallzeit lieber nicht, ich warte lieber und lese jeden von ihnen und entscheide. Möglicherweise wissen Sie erst einige Wochen später, warum dieser Patch aufgetreten ist, welchen Wert er hat. Bleiben Sie also auf dem Laufenden.
Sie sollten Ihre Firewall konfiguriert haben. Es war schockierend bei der Verletzung der SNB, wie viele Leute ältere Versionen von SQL Server mit einer vollständig für das Internet geöffneten Firewall ausführten, sodass jeder mit seinen Servern alles tun konnte, was er wollte. Sie sollten eine Firewall verwenden. Die Tatsache, dass Sie gelegentlich die Regeln konfigurieren oder bestimmte Ausnahmen für die Art und Weise vornehmen müssen, wie Sie Ihr Geschäft betreiben, ist ein akzeptabler Preis. Sie müssen den Oberflächenbereich in Ihren Datenbanksystemen steuern. Installieren Sie Dienste oder Webserver wie IIS gemeinsam auf demselben Computer? Den gleichen Speicherplatz wie Ihre Datenbanken und Ihre privaten Daten gemeinsam nutzen? Versuchen Sie, dies nicht zu tun, es zu isolieren und die Oberfläche kleiner zu halten, damit Sie sich nicht so viele Gedanken darüber machen müssen, ob all dies auf der Datenbank sicher ist. Sie können diese physisch trennen, die Plattform, sie trennen, sich ein wenig Raum zum Atmen geben.
Sie sollten keine Superadministratoren haben, die überall herumlaufen und auf alle Ihre Daten zugreifen können. Die OS-Administratorkonten müssen möglicherweise nicht unbedingt über eine Verschlüsselung auf Ihre Datenbank oder die zugrunde liegenden Daten in der Datenbank zugreifen können, worüber wir gleich sprechen. Und den Zugriff auf die Datenbankdateien müssen Sie ebenfalls einschränken. Es ist albern, wenn Sie sagen, dass jemand nicht über die Datenbank auf diese Datenbanken zugreifen kann. SQL Server selbst erlaubt es ihnen nicht, darauf zuzugreifen, aber wenn sie dann umgehen können, nehmen Sie eine Kopie der tatsächlichen MDF-Datei, verschieben Sie sie einfach so, hängen Sie sie an ihren eigenen SQL Server an, Sie haben nicht wirklich viel erreicht viel.
Verschlüsselung, also Verschlüsselung ist das berühmte Zwei-Wege-Schwert. Es gibt viele verschiedene Verschlüsselungsstufen, die Sie auf Betriebssystemebene ausführen können, und die aktuelle Vorgehensweise für SQL und Windows erfolgt mit BitLocker. Auf Datenbankebene wird dies als TDE oder transparente Datenverschlüsselung bezeichnet. Dies sind also beide Möglichkeiten, um Ihre Daten im Ruhezustand verschlüsselt zu halten. Wenn Sie Ihre Daten umfassender verschlüsseln möchten, können Sie dies verschlüsselt tun. Sie können verschlüsselte Verbindungen herstellen, sodass die Daten während der Übertragung immer noch verschlüsselt sind. Wenn also jemand mithört oder ein Mann mitten in einem Angriff ist, sind diese Daten drahtlos geschützt. Ihre Backups müssen verschlüsselt werden, wie ich bereits sagte, sie sind möglicherweise für andere zugänglich, und wenn Sie möchten, dass sie im Speicher und während der Verwendung verschlüsselt werden, haben wir eine Spaltenverschlüsselung, und dann hat SQL 2016 den Begriff „immer“ verschlüsselt “, wo es tatsächlich auf der Festplatte, im Speicher, auf der Leitung bis zu der Anwendung verschlüsselt ist, die die Daten tatsächlich verwendet.
Diese Verschlüsselung ist nicht kostenlos: Es gibt CPU-Overhead, manchmal für die Spaltenverschlüsselung und den immer verschlüsselten Fall, es gibt Auswirkungen auf die Leistung in Bezug auf Ihre Fähigkeit, Suchvorgänge für diese Daten durchzuführen. Wenn diese Verschlüsselung jedoch richtig zusammengestellt ist, bedeutet dies, dass der Schaden, wenn jemand Zugriff auf Ihre Daten erhält, stark verringert wird, da er sie erhalten konnte und dann nichts damit anfangen kann. Dies ist jedoch auch die Art und Weise, wie Ransomware funktioniert: Jemand geht ein und aktiviert diese Elemente mit einem eigenen Zertifikat oder einem eigenen Kennwort, und Sie haben keinen Zugriff darauf. Deshalb ist es wichtig, sicherzustellen, dass Sie dies tun und dass Sie Zugriff darauf haben, aber Sie geben es nicht, damit andere und Angreifer es tun können.
Und dann Sicherheitsprinzipien - ich werde diesen Punkt nicht näher erläutern, aber stellen Sie sicher, dass nicht jeder Benutzer in SQL Server als Superadministrator ausgeführt wird. Ihre Entwickler möchten es vielleicht, andere Benutzer möchten es vielleicht - sie sind frustriert, wenn sie nach dem Zugriff auf einzelne Elemente fragen müssen -, aber Sie müssen diesbezüglich gewissenhaft vorgehen und, auch wenn es komplizierter sein mag, Zugriff auf die Objekte gewähren und Die Datenbanken und Schemata, die für die laufende Arbeit gültig sind, und es gibt einen Sonderfall, der möglicherweise eine spezielle Anmeldung bedeutet. Dies bedeutet nicht unbedingt eine Erhöhung der Rechte für den durchschnittlichen Fallbenutzer.
Und dann gibt es Überlegungen zur Einhaltung gesetzlicher Vorschriften, die in diese Überlegungen einfließen, und in einigen Fällen kann dies auf ihre eigene Art und Weise geschehen - also gibt es HIPAA, SOX, PCI - es gibt all diese unterschiedlichen Überlegungen. Und wenn Sie ein Audit durchlaufen, wird von Ihnen erwartet, dass Sie nachweisen, dass Sie Maßnahmen ergreifen, um dies einzuhalten. Das ist also eine Menge, die Sie im Auge behalten müssen. Ich würde sagen, als DBA-Aufgabenliste versuchen Sie, die Konfiguration der physischen Sicherheitsverschlüsselung sicherzustellen und sicherzustellen, dass der Zugriff auf diese Daten überwacht wird Stellen Sie zu Compliance-Zwecken sicher, dass Ihre vertraulichen Spalten wissen, was sie sind, wo sie sich befinden, auf welche Sie verschlüsseln und den Zugriff überwachen sollten. Stellen Sie außerdem sicher, dass die Konfigurationen mit den Richtlinien übereinstimmen, denen Sie unterliegen. Und Sie müssen dies alles auf dem neuesten Stand halten, da sich die Dinge ändern.
Also, es ist eine Menge zu tun, und wenn ich es einfach dort lassen würde, würde ich sagen, mach das. Aber dafür gibt es viele verschiedene Tools, und so wollte ich Ihnen in den letzten Minuten einige der Tools zeigen, die wir bei IDERA dafür haben. Und die beiden, über die ich heute sprechen wollte, sind SQL Secure und SQL Compliance Manager. SQL Secure ist unser Tool zum Ermitteln der Art der Konfigurationsschwachstellen. Ihre Sicherheitsrichtlinien, Ihre Benutzerberechtigungen, Ihre Oberflächenkonfigurationen. Außerdem enthält es Vorlagen, mit denen Sie verschiedene gesetzliche Rahmenbedingungen einhalten können. Das allein, diese letzte Zeile, könnte der Grund sein, warum die Leute darüber nachdenken. Weil es eine Menge Arbeit ist, diese verschiedenen Vorschriften durchzulesen und zu identifizieren, was sie bedeuten, PCI und diese dann bis zu meinem SQL Server in meinem Shop zu übertragen. Das ist etwas, für das Sie eine Menge Beratungsgeld bezahlen könnten. Wir haben diese Beratung durchgeführt und mit den verschiedenen Prüfungsgesellschaften usw. zusammengearbeitet, um die entsprechenden Vorlagen zu finden. Wenn diese vorhanden sind, besteht die Wahrscheinlichkeit, dass sie eine Prüfung bestehen. Anschließend können Sie diese Vorlagen in Ihrer Umgebung verwenden und anzeigen.
Wir haben auch ein anderes Schwestertool in Form von SQL Compliance Manager. Hier geht es in SQL Secure um Konfigurationseinstellungen. In SQL Compliance Manager geht es darum zu sehen, was von wem wann getan wurde. Es handelt sich also um eine Überwachung, mit der Sie die Aktivität während des Vorgangs überwachen und nachverfolgen können, wer auf Dinge zugreift. War jemand, als prototypisches Beispiel eine Berühmtheit, in Ihrem Krankenhaus, war jemand unterwegs und hat aus Neugier seine Informationen nachgeschlagen? Hatten sie einen Grund dazu? Sie können sich den Überwachungsverlauf ansehen und sehen, was vor sich ging und wer auf diese Aufzeichnungen zugegriffen hat. Und Sie können feststellen, dass dies über Tools verfügt, mit denen Sie sensible Spalten identifizieren können, sodass Sie dies nicht unbedingt selbst durchlesen und tun müssen.
Also, wenn ich darf, werde ich Ihnen in den letzten Minuten einige dieser Tools hier zeigen - und bitte betrachten Sie es nicht als ausführliche Demo. Ich bin ein Produktmanager und kein Vertriebsingenieur, daher zeige ich Ihnen einige Dinge, die meiner Meinung nach für diese Diskussion relevant sind. Dies ist also unser SQL Secure-Produkt. Und wie Sie hier sehen können, habe ich so etwas wie ein High-Level-Zeugnis. Ich habe das gestern gemacht. Und es zeigt mir einige der Dinge, die nicht richtig eingerichtet sind und einige der Dinge, die richtig eingerichtet sind. Sie sehen also, dass wir hier eine ganze Reihe von über 100 verschiedenen Prüfungen durchgeführt haben. Und ich kann sehen, dass meine Sicherungsverschlüsselung bei den Sicherungen, die ich durchgeführt habe, keine Sicherungsverschlüsselung verwendet hat. Mein SA-Konto mit dem expliziten Namen "SA-Konto" wurde nicht deaktiviert oder umbenannt. Die Rolle des öffentlichen Servers hat die Berechtigung, daher sind dies alles Dinge, die ich möglicherweise ändern möchte.
Ich habe die Richtlinie hier eingerichtet. Wenn ich also eine neue Richtlinie einrichten möchte, um sie auf meine Server anzuwenden, haben wir alle diese integrierten Richtlinien. Ich verwende also eine vorhandene Richtlinienvorlage, und Sie können sehen, dass CIS, HIPAA, PCI, SR und vieles mehr vorhanden sind. Wir sind gerade dabei, kontinuierlich zusätzliche Richtlinien hinzuzufügen, basierend auf den Dingen, die die Mitarbeiter vor Ort benötigen . Sie können auch eine neue Richtlinie erstellen. Wenn Sie also wissen, wonach Ihr Prüfer sucht, können Sie diese selbst erstellen. Und wenn Sie dies tun, können Sie aus all diesen verschiedenen Einstellungen auswählen, die Sie festlegen müssen, und in einigen Fällen haben Sie einige - lassen Sie mich zurückgehen und eine der vorgefertigten Einstellungen suchen. Dies ist praktisch, ich kann beispielsweise HIPAA auswählen - ich habe bereits HIPAA, meine schlechte PCI, und dann kann ich, wenn ich mich hier umschaue, tatsächlich den externen Querverweis zum Abschnitt von sehen Regulierung, mit der dies zusammenhängt. Das wird Ihnen später helfen, wenn Sie herausfinden möchten, warum ich dies einstelle. Warum versuche ich das anzuschauen? Auf welchen Abschnitt bezieht sich das?
Dies hat auch ein nettes Tool, mit dem Sie Ihre Benutzer durchsuchen können. Eines der kniffligen Dinge beim Erkunden Ihrer Benutzerrollen ist, dass ich hier einen Blick darauf werfen werde. Wenn ich also Berechtigungen für meine zeige, wählen wir hier einen Benutzer aus. Berechtigungen anzeigen. Ich kann die zugewiesenen Berechtigungen für diesen Server sehen, aber dann kann ich hier unten klicken und die effektiven Berechtigungen berechnen, und es gibt mir die vollständige Liste basierend auf, also ist dies in diesem Fall admin, also ist es nicht so aufregend, aber Ich könnte die verschiedenen Benutzer durchgehen und herausfinden, zu welchen effektiven Berechtigungen sie gehören, basierend auf all den verschiedenen Gruppen, denen sie angehören könnten. Wenn Sie dies jemals alleine versuchen, kann es ein bisschen mühsam sein, herauszufinden, OK, dieser Benutzer ist Mitglied dieser Gruppen und hat daher über Gruppen usw. Zugriff auf diese Dinge.
Die Art und Weise, wie dieses Produkt funktioniert, ist, dass es Snapshots erstellt. Es ist also wirklich kein sehr schwieriger Prozess, regelmäßig einen Snapshot des Servers zu erstellen. Diese Snapshots werden dann über einen bestimmten Zeitraum hinweg gespeichert, damit Sie sie auf Änderungen hin vergleichen können. Es handelt sich also nicht um eine kontinuierliche Überwachung im herkömmlichen Sinne eines Leistungsüberwachungs-Tools. Dies ist etwas, das Sie möglicherweise so eingerichtet haben, dass es einmal pro Nacht, einmal pro Woche ausgeführt wird - so oft Sie es auch für gültig halten -, sodass Sie tatsächlich immer dann sind, wenn Sie die Analyse durchführen und ein bisschen mehr tun Ich arbeite nur in unserem Tool. Sie stellen nicht so oft eine Verbindung zu Ihrem Server her, daher ist dies ein hübsches kleines Tool, mit dem Sie arbeiten können, um diese Art von statischen Einstellungen zu erhalten.
Das andere Tool, das ich Ihnen zeigen möchte, ist unser Compliance Manager-Tool. Compliance Manager wird die Überwachung kontinuierlicher gestalten. Und es wird angezeigt, wer was auf Ihrem Server tut, und Sie können einen Blick darauf werfen. Also, was ich in den letzten paar Stunden hier gemacht habe, habe ich tatsächlich versucht, ein paar kleine Probleme zu schaffen. Hier habe ich also die Frage, ob es sich um ein Problem handelt oder nicht. Vielleicht weiß ich Bescheid. Jemand hat tatsächlich ein Login erstellt und es einer Serverrolle hinzugefügt. Also, wenn ich reingehe und mir das ansehe, kann ich sehen - ich glaube, ich kann nicht mit der rechten Maustaste dorthin klicken, ich kann sehen, was los ist. Das ist also mein Dashboard und ich kann sehen, dass ich heute ein bisschen früher eine Reihe von fehlgeschlagenen Anmeldungen hatte. Ich hatte einige Sicherheitsaktivitäten, DBL-Aktivitäten.
Lassen Sie mich also zu meinen Prüfungsereignissen gehen und einen Blick darauf werfen. Hier habe ich meine Überwachungsereignisse nach Kategorie und Zielobjekt gruppiert. Wenn ich mir also die Sicherheit von früher anschaue, kann ich DemoNewUser sehen, dass diese Serveranmeldung erfolgt ist. Und ich kann sehen, dass die Login-SA dieses DemoNewUser-Konto erstellt hat, hier um 14:42 Uhr. Und dann kann ich sehen, dass der Login zum Server hinzugefügt wurde, dieser DemoNewUser wurde der Server-Admin-Gruppe hinzugefügt, sie wurden der hinzugefügt Setup Admin-Gruppe wurden sie der Sysadmin-Gruppe hinzugefügt. Das ist also etwas, von dem ich wissen möchte, dass es passiert ist. Ich habe es auch so eingerichtet, dass die vertraulichen Spalten in meinen Tabellen nachverfolgt werden, damit ich sehen kann, wer darauf zugegriffen hat.
Also, hier habe ich ein paar Auserwählte, die in meiner Personentabelle vorkamen, aus Adventure Works. Und ich kann einen Blick darauf werfen und sehen, dass der Benutzer SA auf dem Adventure Works-Tisch einen ausgewählten Top-Ten-Stern von person dot person gemacht hat. Vielleicht möchte ich in meiner Organisation nicht, dass Leute Sterne von person dot person auswählen, oder ich erwarte, dass nur bestimmte Benutzer dies tun, und deshalb werde ich dies hier sehen. Also können wir das, was Sie für Ihre Prüfung benötigen, auf der Grundlage des Frameworks einrichten, und dies ist eher ein intensives Tool. Abhängig von der Version werden SQL Trace- oder SQLX-Ereignisse verwendet. Und es ist etwas, das Sie benötigen, um auf Ihrem Server genügend Headroom unterzubringen, aber es ist eines dieser Dinge, eine Art Versicherung, was schön ist, wenn wir keine Autoversicherung haben müssten - es wäre eine Kosten, die wir nicht in Kauf nehmen müssten - aber wenn Sie einen Server haben, auf dem Sie nachverfolgen müssen, wer was tut, müssen Sie möglicherweise etwas mehr Headroom und ein Tool wie dieses haben, um dies zu tun. Unabhängig davon, ob Sie unser Tool verwenden oder es selbst verwenden, sind Sie letztendlich dafür verantwortlich, dass diese Informationen für die Einhaltung gesetzlicher Bestimmungen verwendet werden.
Also, wie gesagt, keine ausführliche Demo, nur eine kurze Zusammenfassung. Ich wollte Ihnen auch ein schnelles, kleines kostenloses Tool in Form dieser SQL-Spaltensuche zeigen, mit dem Sie identifizieren können, welche Spalten in Ihrer Umgebung als vertrauliche Informationen erscheinen. Wir haben also eine Reihe von Suchkonfigurationen, in denen nach den verschiedenen Namen von Spalten gesucht wird, die häufig vertrauliche Daten enthalten, und dann habe ich diese ganze Liste der identifizierten Spalten. Ich habe 120 von ihnen, und dann habe ich sie hierher exportiert, damit ich sie verwenden kann, um zu sagen, lasst uns nachsehen und sicherstellen, dass ich den Zugriff auf den zweiten Vornamen, eine Person, eine Person oder die Umsatzsteuer nachverfolge rate usw.
Ich weiß, wir sind am Ende unserer Zeit hier richtig. Und das ist alles, was ich dir eigentlich zeigen musste, also irgendwelche Fragen an mich?
Eric Kavanagh: Ich habe ein paar gute für Sie. Lassen Sie mich das hier raufrollen. Einer der Teilnehmer stellte eine wirklich gute Frage. Eine davon ist die Frage nach der Leistungssteuer, daher weiß ich, dass sie von Lösung zu Lösung unterschiedlich ist. Haben Sie jedoch eine allgemeine Vorstellung davon, wie die Leistungssteuer für die Verwendung von IDERA-Sicherheitstools lautet?
Vicky Harp: Bei SQL Secure ist es, wie gesagt, sehr niedrig, es werden nur gelegentlich Schnappschüsse gemacht. Und selbst wenn Sie schon ziemlich oft gelaufen sind, werden statische Informationen zu den Einstellungen abgerufen, sodass diese sehr niedrig und fast vernachlässigbar sind. In Bezug auf Compliance Manager ist es:
Eric Kavanagh: Wie ein Prozent?
Vicky Harp: Wenn ich eine Prozentzahl angeben müsste, wäre es ein Prozent oder weniger. Es handelt sich um grundlegende Informationen zur Reihenfolge der Verwendung von SSMS, zum Aufrufen der Registerkarte "Sicherheit" und zum Erweitern von Elementen. Auf der Compliance-Seite ist es viel höher - aus diesem Grund habe ich gesagt, dass ein wenig Headroom erforderlich ist - es ist so, als ob es weit über das hinausgeht, was Sie in Bezug auf die Leistungsüberwachung haben. Jetzt möchte ich die Leute nicht davon abhalten, der Trick bei der Compliance-Überwachung, und wenn es um Audits geht, soll sichergestellt werden, dass Sie nur prüfen, worauf Sie reagieren werden. Wenn Sie also nach unten filtern und sagen: „Hey, ich möchte wissen, wann Benutzer auf diese bestimmten Tabellen zugreifen, und ich möchte wissen, wann Benutzer auf diese bestimmten Aktionen zugreifen.“ Dann hängt es davon ab, wie oft diese Dinge vorkommen passiert und wie viele Daten generieren Sie. Wenn Sie sagen: "Ich möchte, dass der vollständige SQL-Text jeder Auswahl, die jemals in einer dieser Tabellen vorkommt, ", dann handelt es sich möglicherweise nur um Gigabyte und Gigabyte an Daten, die vom in unserem Produkt gespeicherten SQL Server analysiert werden müssen. etc.
Wenn Sie es auf a beschränken, werden es auch mehr Informationen sein, als Sie wahrscheinlich behandeln könnten. Wenn Sie es auf ein kleineres Set reduzieren könnten, so dass Sie ein paar hundert Ereignisse pro Tag haben, dann ist das offensichtlich viel niedriger. In gewisser Hinsicht ist der Himmel die Grenze. Wenn Sie alle Einstellungen für alle Überwachungen für alles aktivieren, ist dies ein Leistungseinbruch von 50 Prozent. Aber wenn Sie es auf ein moderateres Niveau bringen wollen, würde ich vielleicht 10 Prozent in die Augen blicken? Es ist wirklich eines dieser Dinge, die sehr von Ihrer Arbeitsbelastung abhängen werden.
Eric Kavanagh: Ja, richtig. Es gibt noch eine andere Frage zu Hardware. Und dann gibt es Hardware-Anbieter, die in das Spiel einsteigen und wirklich mit Software-Anbietern zusammenarbeiten, und ich antwortete durch das Q & A-Fenster. Ich kenne einen besonderen Fall, in dem Cloudera mit Intel zusammengearbeitet hat und Intel diese enormen Investitionen getätigt hat. Ein Teil des Kalküls war, dass Cloudera frühzeitig Zugang zum Chipdesign erhalten und so Sicherheit in den Chiplevel des Computers einbrennen kann Architektur, die ziemlich beeindruckend ist. Aber es ist nichtsdestotrotz etwas, das auf den Markt kommen wird und immer noch von beiden Seiten ausgenutzt werden kann. Kennen Sie Trends oder Tendenzen von Hardwareherstellern, bei Sicherheitsprotokollen mit Softwareherstellern zusammenzuarbeiten?
Vicky Harp: Ja, eigentlich glaube ich, dass Microsoft zusammengearbeitet hat, um einen Teil des Speicherplatzes für einige der Verschlüsselungsarbeiten auf separaten Chips auf Motherboards zu haben, die von Ihrem Hauptspeicher getrennt sind, so dass einige von diesem Zeug ist physisch getrennt. Und ich glaube, dass dies tatsächlich etwas war, was von Microsoft in Bezug auf das Ausgehen bei den Anbietern kam, um zu sagen: „Können wir einen Weg finden, um dies zu erreichen, im Grunde ist es nicht adressierbarer Speicher, an den ich nicht durch einen Pufferüberlauf gelangen kann diese Erinnerung, weil sie in gewissem Sinne nicht einmal da ist, also weiß ich, dass etwas davon passiert. “
Eric Kavanagh: Ja.
Vicky Harp: Das werden wahrscheinlich die wirklich großen Anbieter sein.
Eric Kavanagh: Ja. Ich bin neugierig darauf, und vielleicht würde Robin, wenn Sie eine kurze Sekunde Zeit haben, gerne wissen, was Sie über die Jahre erlebt haben In Bezug auf das, was Sie von der Anbieterseite aus zusammenstellen, könnten diese Informationen an beide Seiten gehen, und theoretisch gehen wir ziemlich schnell an beide Seiten. Gibt es also eine Möglichkeit, die Hardware unter Designgesichtspunkten sorgfältiger zu nutzen, um die Sicherheit zu verbessern? Was denkst du? Robin, bist du stumm?
Robin Bloor: Ja, ja. Es tut mir leid, ich bin hier; Ich denke nur über die Frage nach. Um ehrlich zu sein, ich habe keine Meinung, es ist ein Bereich, auf den ich nicht besonders eingegangen bin, also kann ich mir eine Meinung einfallen lassen, aber ich weiß es nicht wirklich. Ich bevorzuge Dinge, die in Software sicher sind, im Grunde ist es nur die Art, wie ich spiele.
Eric Kavanagh: Ja. Leute, wir haben eine Stunde durchgebrannt und uns hier umgezogen. Vielen Dank an Vicky Harp für ihre Zeit und Aufmerksamkeit - für all Ihre Zeit und Aufmerksamkeit; Wir schätzen es, dass Sie für diese Dinge auftauchen. Es ist ein großes Geschäft; es wird nicht so schnell verschwinden. Es ist ein Katz-und-Maus-Spiel, das immer weiter geht. Wir sind dankbar, dass es einige Unternehmen gibt, die sich auf die Sicherheit konzentrieren, aber wie Vicky in ihrem Vortrag sogar anspielte und darüber sprach, sind es letztendlich Menschen in Organisationen, die sehr sorgfältig überlegen müssen Über diese Phishing-Angriffe, über diese Art von Social Engineering und über das Festhalten an Ihren Laptops - lassen Sie es nicht im Coffee Shop! Ändern Sie Ihr Passwort, machen Sie die Grundlagen, und Sie werden 80 Prozent des Weges dorthin bekommen.
Also, Leute, wir werden uns von Ihnen verabschieden, nochmals vielen Dank für Ihre Zeit und Aufmerksamkeit. Wir werden uns beim nächsten Mal bei Ihnen melden. Tschüss.
Vicky Harp: Tschüss, danke.