Von Techopedia Staff, 27. Oktober 2016
Imbiss: Gastgeber Eric Kavanagh diskutiert mit Robin Bloor, Dez Blanchfield und Ignacio Rodriguez von IDERA über Datenbanksicherheit.
Du bist derzeit nicht angemeldet. Bitte melde dich an oder registriere dich, um das Video zu sehen.
Eric Kavanagh: Hallo und herzlich willkommen bei Hot Technologies. Mein Name ist Eric Kavanagh; Ich werde heute Ihr Gastgeber für den Webcast sein, und es ist ein heißes Thema, und es wird niemals kein heißes Thema sein. Dies ist jetzt ein heißes Thema, ehrlich gesagt, wegen all der Verstöße, von denen wir hören, und ich kann Ihnen garantieren, dass es niemals vergehen wird. Das Thema heute, der genaue Titel der Show, den ich sagen sollte, lautet „The New Normal: Umgang mit der Realität einer unsicheren Welt“. Genau darum geht es hier.
Wir haben Ihren Gastgeber, Ihren, genau dort. Vor ein paar Jahren, wohlgemerkt, sollte ich wahrscheinlich mein Foto aktualisieren; Das war 2010. Die Zeit vergeht wie im Fluge. Schicken Sie mir eine E-Mail mit, wenn Sie Vorschläge machen möchten. Dies ist also unser Standard-Hot-Slide für Hot Technologies. Der ganze Zweck dieser Show ist es wirklich, einen bestimmten Raum zu definieren. Wir sprechen heute natürlich von Sicherheit. Tatsächlich nehmen wir mit unseren Freunden von IDERA einen sehr interessanten Standpunkt ein.
Und ich möchte darauf hinweisen, dass Sie als Zuschauer eine wichtige Rolle im Programm spielen. Bitte sei nicht schüchtern. Schicken Sie uns jederzeit eine Frage und wir werden uns für die Fragen und Antworten anstellen, wenn wir genug Zeit dafür haben. Wir haben heute drei Leute online, Dr. Robin Bloor, Dez Blanchfield und Ignacio Rodriguez, die von einem unbekannten Ort anrufen. Zuallererst, Robin, bist du der erste Moderator. Ich werde Ihnen die Schlüssel geben. Nimm es weg.
Dr. Robin Bloor: Okay, danke dafür, Eric. Sichern der Datenbank - Ich nehme an, wir könnten sagen, dass die Wahrscheinlichkeit, dass die wertvollsten Daten, über die ein Unternehmen tatsächlich verfügt, in einer Datenbank liegen. Es gibt also eine ganze Reihe von Sicherheitsdingen, über die wir sprechen könnten. Aber ich dachte, ich würde über das Thema Datenbanksicherung sprechen. Ich möchte der Präsentation, die Ignacio halten wird, nichts wegnehmen.
Beginnen wir also damit, dass Datensicherheit ein statisches Ziel ist, aber das ist es nicht. Es ist ein sich bewegendes Ziel. Und dies ist in dem Sinne wichtig zu verstehen, dass sich die IT-Umgebungen der meisten Menschen, insbesondere die IT-Umgebungen großer Unternehmen, ständig ändern. Und weil sie sich ständig ändern, ändern sich die Angriffsfläche und die Bereiche, in denen jemand auf die eine oder andere Weise von innen oder außen versuchen kann, die Datensicherheit zu gefährden, ständig. Und wenn Sie so etwas tun, indem Sie eine Datenbank aktualisieren, haben Sie keine Ahnung, ob Sie auf diese Weise eine Art Sicherheitslücke für sich selbst geschaffen haben. Aber Sie sind sich dessen nicht bewusst und werden es vielleicht nie erfahren, bis etwas Mieses passiert.
Es gibt einen kurzen Überblick über die Datensicherheit. Erstens ist Datendiebstahl nichts Neues, und wertvolle Daten werden gezielt verwendet. In der Regel ist es für ein Unternehmen einfach, die Daten zu ermitteln, auf die der größte Schutz angewendet werden soll. Eine merkwürdige Tatsache ist, dass der erste, oder was wir als den ersten Computer bezeichnen könnten, vom britischen Geheimdienst während des Zweiten Weltkriegs mit einem Ziel gebaut wurde, nämlich Daten aus der deutschen Kommunikation zu stehlen.
Datendiebstahl ist also seit Beginn ein Teil der IT-Branche. Mit der Geburt des Internets wurde es viel ernster. Ich habe mir ein Protokoll über die Anzahl der Datenverletzungen angesehen, die Jahr für Jahr auftraten. Und die Zahl war bis 2005 auf über 100 angestiegen, und ab diesem Zeitpunkt wird sie von Jahr zu Jahr schlechter.
Es werden größere Datenmengen gestohlen und es finden mehr Hacks statt. Und das sind die Hacks, die gemeldet werden. Es gibt eine sehr große Anzahl von Vorfällen, in denen das Unternehmen nie etwas sagt, weil es nichts gibt, das es dazu zwingt, etwas zu sagen. So bleibt der Datenverstoß ruhig. Es gibt viele Akteure im Hacking-Geschäft: Regierungen, Unternehmen, Hackergruppen, Einzelpersonen.
Eine Sache, die ich einfach interessant finde, zu erwähnen, als ich nach Moskau ging, ich glaube, es war vor ungefähr vier Jahren, es war eine Softwarekonferenz in Moskau, ich sprach mit einem Journalisten, der sich auf den Bereich des Daten-Hackings spezialisiert hat. Und er behauptete - und ich bin sicher, er hat Recht, aber ich weiß es nicht anders als er ist die einzige Person, die es mir jemals gesagt hat, aber - es gibt ein russisches Unternehmen namens The Russian Business Network, es hat wahrscheinlich ein russisches name aber ich denke das ist die englische übersetzung davon, die eigentlich zum hacken angestellt ist.
Wenn Sie also eine große Organisation auf der ganzen Welt sind und etwas unternehmen möchten, um Ihre Konkurrenz zu schädigen, können Sie diese Leute einstellen. Und wenn Sie diese Leute einstellen, erhalten Sie eine sehr plausible Ablehnung, wer hinter dem Hack steckt. Denn wenn es überhaupt entdeckt wird, wer hinter dem Hack steckt, wird es anzeigen, dass es wahrscheinlich jemand in Russland ist, der es getan hat. Und es wird nicht so aussehen, als wollten Sie einem Konkurrenten Schaden zufügen. Und ich glaube, dass das Russian Business Network tatsächlich von Regierungen beauftragt wurde, Dinge wie das Eindringen in Banken zu unternehmen, um herauszufinden, wie sich terroristisches Geld bewegt. Und das mit plausibler Verleugnung durch Regierungen, die niemals zugeben werden, dass sie das tatsächlich jemals getan haben.
Die Technologie von Angriff und Verteidigung entwickelt sich weiter. Vor langer Zeit ging ich in den Chaos Club. Es war eine Site in Deutschland, auf der Sie sich registrieren und einfach den Gesprächen verschiedener Personen folgen und sehen konnten, was verfügbar war. Und das habe ich getan, als ich mir Sicherheitstechnologie angesehen habe, ich denke um 2005. Und ich habe es getan, um zu sehen, was damals los war und was mich erstaunte, war die Anzahl der Viren, bei denen es sich im Grunde um ein Open-Source-System handelte Ich ging weiter und Leute, die Viren geschrieben oder Viren verbessert hatten, hielten den Code einfach so hoch, dass er von jedem benutzt werden konnte. Und mir ist damals aufgefallen, dass Hacker sehr, sehr schlau sein können, aber es gibt eine Menge Hacker, die nicht unbedingt schlau sind, aber intelligente Tools verwenden. Und einige dieser Tools sind bemerkenswert intelligent.
Und der letzte Punkt hier: Unternehmen sind verpflichtet, auf ihre Daten zu achten, unabhängig davon, ob sie sie besitzen oder nicht. Und ich denke, das wird immer deutlicher als früher. Und es wird immer teurer für ein Unternehmen, sich tatsächlich einem Hack zu unterziehen. Über die Hacker können sie überall lokalisiert werden, vielleicht schwer vor Gericht zu bringen, selbst wenn sie richtig identifiziert sind. Viele von ihnen sind sehr geschickt. Beträchtliche Ressourcen, sie haben überall Botnets. Der jüngste DDoS-Angriff wurde auf über eine Milliarde Geräte zurückgeführt. Ich weiß nicht, ob das stimmt oder ob es sich nur um einen Reporter handelt, der eine runde Zahl verwendet, aber mit Sicherheit wurde eine große Anzahl von Robotergeräten verwendet, um einen Angriff auf das DNS-Netzwerk durchzuführen. Einige profitable Unternehmen, es gibt Regierungsgruppen, es gibt Wirtschaftskriege, es gibt Cyberkriegsführung, alles läuft dort draußen und es ist unwahrscheinlich, ich denke, wir sagten in der Preshow, es ist unwahrscheinlich, dass es jemals enden wird.
Compliance und Vorschriften - es gibt eine Reihe von Dingen, die tatsächlich vor sich gehen. Es gibt eine Vielzahl von Compliance-Initiativen, die branchenbasiert sind. Sie wissen, dass der Pharmasektor, der Bankensektor oder der Gesundheitssektor spezifische Initiativen haben können, denen die Menschen folgen können. Es gibt aber auch viele behördliche Vorschriften, die, weil sie gesetzlich vorgeschrieben sind, Strafen für jeden vorsehen, der gegen das Gesetz verstößt. Die US-amerikanischen Beispiele sind HIPAA, SOX, FISMA, FERPA, GLBA. Es gibt einige Standards, PCI-DSS ist ein Standard für Kartenunternehmen. ISO / IEC 17799 basiert auf dem Versuch, einen gemeinsamen Standard zu erhalten. Dies ist das Eigentum der Daten. Die nationalen Vorschriften unterscheiden sich von Land zu Land, sogar in Europa, oder man sollte vielleicht sagen, besonders in Europa, wo es sehr verwirrend ist. Und es gibt eine GDPR, eine globale Datenschutzverordnung, die derzeit zwischen Europa und den Vereinigten Staaten ausgehandelt wird, um zu versuchen, die Vorschriften zu harmonisieren, da es so viele gibt, wie sie tatsächlich international sind, und dann gibt es Cloud-Dienste, die Sie vielleicht brauchen Ich glaube nicht, dass Ihre Daten international sind, aber sie wurden international, sobald Sie in die Cloud gegangen sind, weil sie aus Ihrem Land ausgewandert sind. Das sind also eine Reihe von Vorschriften, die auf die eine oder andere Weise ausgehandelt werden, um den Datenschutz zu regeln. Und das meiste hat mit den Daten einer Person zu tun, was natürlich so ziemlich alle Identitätsdaten einschließt.
Dinge, über die man nachdenken sollte: Datenbank-Schwachstellen. Es gibt eine Liste von Schwachstellen, die von Datenbankanbietern bekannt sind und gemeldet werden, wenn sie so schnell wie möglich entdeckt und gepatcht werden. Es gibt Dinge, die damit zusammenhängen, um anfällige Daten zu identifizieren. Einer der größten und erfolgreichsten Hacks für Zahlungsdaten wurde bei einem Zahlungsverarbeitungsunternehmen durchgeführt. Dies wurde später übernommen, weil es in Abwicklung gehen musste, wenn dies nicht der Fall war, aber die Daten wurden keiner der operativen Datenbanken gestohlen. Die Daten wurden aus einer Testdatenbank gestohlen. Es kam einfach so vor, dass die Entwickler gerade eine Teilmenge der Daten, bei denen es sich um echte Daten handelte, in einer Testdatenbank verwendet hatten. Die Testdatenbank wurde gehackt und sehr viele persönliche finanzielle Details wurden daraus entnommen.
Gibt es eine Möglichkeit, dies zu umgehen, insbesondere in Bezug auf die Sicherheit des Zugriffs auf Datenbanken? Wer kann lesen, wer kann schreiben, wer kann Berechtigungen erteilen? Dann gibt es natürlich Verschlüsselungen aus Datenbanken, die das erlauben. Ein Sicherheitsverstoß ist mit Kosten verbunden. Ich weiß nicht, ob dies in Organisationen Standard ist, aber ich weiß, dass einige leitende Sicherheitsbeauftragte versuchen, den Führungskräften eine Vorstellung davon zu vermitteln, wie hoch die Kosten einer Sicherheitsverletzung tatsächlich sind, bevor dies geschieht, und nicht danach. Und sie müssen das tun, um sicherzustellen, dass sie das richtige Budget erhalten, um die Organisation verteidigen zu können.
Und dann die Angriffsfläche. Die Angriffsfläche scheint ständig zu wachsen. Es ist Jahr für Jahr, dass die Angriffsfläche nur zu wachsen scheint. Zusammenfassend ist Reichweite ein weiterer Punkt, aber Datensicherheit ist normalerweise Teil der Rolle des DBA. Datensicherheit ist aber auch eine gemeinschaftliche Tätigkeit. Wenn Sie Sicherheit betreiben, müssen Sie eine umfassende Vorstellung von den Sicherheitsmaßnahmen für das gesamte Unternehmen haben. Und dazu muss es eine Unternehmenspolitik geben. Wenn es keine Unternehmensrichtlinien gibt, landen Sie einfach in kleinen Schritten. Weißt du, Gummiband und Plastik versuchen irgendwie, die Sicherheit zu stoppen.
Nachdem ich das gesagt habe, denke ich, dass ich Dez übergebe, der Ihnen wahrscheinlich verschiedene Kriegsgeschichten erzählen wird.
Eric Kavanagh: Nehmen Sie es weg, Dez.
Dez Blanchfield: Danke, Robin. Es ist immer eine schwierige Aufgabe, dem zu folgen. Ich komme dazu vom anderen Ende des Spektrums, um uns ein Gefühl für das Ausmaß der Herausforderung zu geben, der Sie gegenüberstehen, und warum wir mehr tun sollten, als uns nur hinzusetzen und darauf zu achten . Die Herausforderung, die wir angesichts des Umfangs und der Menge und des Volumens sehen, der Geschwindigkeit, mit der diese Dinge geschehen, besteht darin, dass ich das, was ich überall höre, jetzt mit vielen CXOs höre, nicht nur CIOs, sondern mit Sicherheit CIOs sind diejenigen, die da anwesend sind, wo das Geld stehen bleibt, weil sie Datenverletzungen als schnell zur Norm werden betrachten. Es ist etwas, von dem sie fast erwarten, dass es passiert. Sie betrachten dies also unter dem Gesichtspunkt: "Okay, na ja, wenn wir verletzt werden - nicht wenn - wenn wir verletzt werden, was müssen wir dagegen tun?" Und dann beginnen die Gespräche, Was machen sie in den traditionellen Edge-Umgebungen und Routern, Switches, Servern, Intrusion Detection und Intrusion Inspection? Was machen sie in den Systemen selbst? Was machen sie mit den Daten? Und dann kommt alles auf das zurück, was sie mit ihren Datenbanken gemacht haben.
Lassen Sie mich nur ein paar Beispiele von diesen Dingen ansprechen, die die Fantasie vieler Menschen erregt haben, und sie dann ein bisschen aufschlüsseln. So haben wir in den Nachrichten gehört, dass Yahoo - wahrscheinlich die größte Zahl, die Menschen gehört haben, ist ungefähr eine halbe Million, aber es stellt sich heraus, dass es inoffiziell mehr wie eine Milliarde ist - ich habe eine merkwürdige Zahl von drei Milliarden gehört, aber das ist fast Die Hälfte der Weltbevölkerung, also denke ich, ist das ein bisschen hoch. Aber ich habe es von einer Reihe von Leuten in relevanten Bereichen überprüfen lassen, die glauben, dass es etwas mehr als eine Milliarde Datensätze gibt, die aus Yahoo heraus gebrochen wurden. Und das ist nur eine umwerfende Zahl. Nun, einige Spieler sehen und denken, nun, es sind nur Webmail-Konten, keine große Sache, aber Sie fügen die Tatsache hinzu, dass viele dieser Webmail-Konten und eine merkwürdig hohe Zahl, die höher ist als ich erwartet hatte, tatsächlich bezahlte Konten sind. Dort geben die Leute ihre Kreditkartendaten ein und bezahlen, um die Anzeigen zu entfernen, weil sie die Anzeigen satt haben und daher 4 bis 5 US-Dollar pro Monat bereit sind, einen Webmail- und Cloud-Speicherdienst zu kaufen, der keine Anzeigen enthält, und ich bin einer von denen, und ich habe das über drei verschiedene Anbieter, bei denen ich meine Kreditkarte einstecke.
Dann wird die Herausforderung ein bisschen aufmerksamkeitsstarker, weil es nicht nur etwas ist, das weggeworfen wird: "Nun ja, Yahoo hat beispielsweise zwischen 500 Millionen und 1.000 Millionen Konten verloren." 1.000 Millionen machen es klingt sehr groß und Webmail-Konten, aber Kreditkartendetails, Vorname, Nachname, E-Mail-Adresse, Geburtsdatum, Kreditkarte, PIN-Nummer, was auch immer Sie wollen, Passwörter, und dann wird es ein viel erschreckenderes Konzept. Und wieder sagen die Leute zu mir: "Ja, aber es ist nur ein Webdienst, es ist nur ein Webmail-Dienst, keine große Sache." Und dann sage ich: "Ja, nun, das Yahoo-Konto wurde möglicherweise auch für den Kauf von Yahoo-Gelddiensten verwendet und Aktien verkaufen. “Dann wird es interessanter. Und wenn Sie sich damit befassen, werden Sie feststellen, dass dies mehr ist als nur Mütter und Väter zu Hause, und Teenager mit Nachrichtenkonten haben tatsächlich Geschäftstransaktionen durchgeführt.
Das ist also ein Ende des Spektrums. Das andere Ende des Spektrums ist, dass einem sehr kleinen Gesundheitsdienstleister für Allgemeinmedizin in Australien etwa 1.000 Datensätze gestohlen wurden. War ein interner Job, jemand ging, sie waren nur neugierig, sie gingen aus der Tür, in diesem Fall war es eine 3, 5-Zoll-Diskette. Es ist eine Weile her - aber Sie können die Ära der Medien erzählen - aber sie waren auf alter Technologie. Es stellte sich jedoch heraus, dass der Grund, warum sie die Daten nahmen, darin bestand, dass sie nur neugierig waren, wer sich dort befand. Weil sie in dieser kleinen Stadt, die unsere Landeshauptstadt war, ziemlich viele Leute hatten, die Politiker waren. Und sie interessierten sich dafür, wer dort war und wo sich ihr Leben befand und für all diese Informationen. Angesichts einer sehr kleinen internen Datenschutzverletzung soll eine beträchtliche Anzahl von Politikern in den Details der australischen Regierung öffentlich bekannt geworden sein.
Wir haben zwei verschiedene Enden des Spektrums zu betrachten. Nun ist die Realität, dass das Ausmaß dieser Dinge einfach atemberaubend ist, und ich habe eine Folie, zu der wir hier sehr, sehr schnell springen werden. Es gibt einige Websites, auf denen alle Arten von Daten aufgelistet sind. Diese stammen jedoch von einem Sicherheitsspezialisten, auf dessen Website Sie nach Ihrer E-Mail-Adresse oder Ihrem Namen suchen können. Dort werden alle Datenvorfälle angezeigt In den letzten 15 Jahren ist es ihm nicht gelungen, seine Hände in die Hand zu bekommen, in eine Datenbank zu laden und zu überprüfen. Dann wird Ihnen mitgeteilt, ob Sie, wie der Begriff lautet, pwned wurden. Aber wenn Sie anfangen, sich einige dieser Zahlen anzusehen und dieser Screenshot nicht mit seiner neuesten Version aktualisiert wurde, die ein paar wie Yahoo enthält. Aber denken Sie nur an die Arten von Dienstleistungen hier. Wir haben Myspace, wir haben LinkedIn, Adobe. Adobe ist interessant, weil die Leute schauen und denken: Was bedeutet Adobe? Die meisten von uns, die Adobe Reader in irgendeiner Form herunterladen, haben Adobe-Produkte mit einer Kreditkarte gekauft, das sind 152 Millionen Menschen.
Nach Robins Aussage sind dies sehr große Zahlen, es ist leicht, von ihnen überwältigt zu werden. Was passiert, wenn 359 Millionen Konten geknackt wurden? Nun, da gibt es ein paar Dinge. Robin hob die Tatsache hervor, dass sich diese Daten immer in irgendeiner Form in einer Datenbank befinden. Das ist die kritische Botschaft hier. Fast niemand auf diesem Planeten, von dem ich weiß, dass er ein System in irgendeiner Form ausführt, speichert es nicht in einer Datenbank. Interessant ist jedoch, dass diese Datenbank drei verschiedene Arten von Daten enthält. Es gibt sicherheitsrelevante Dinge wie Benutzernamen und Kennwörter, die normalerweise verschlüsselt sind, aber es gibt immer viele Beispiele, bei denen dies nicht der Fall ist. Es gibt die tatsächlichen Kundeninformationen zu ihrem Profil und den Daten, die sie erstellt haben, unabhängig davon, ob es sich um eine Krankenakte oder um eine E-Mail oder eine Sofortnachricht handelt. Und dann gibt es die eigentliche eingebettete Logik, also könnte dies gespeicherte Prozeduren sein, es könnte eine ganze Reihe von Regeln sein, wenn + dies + dann + das. Und dies ist ausnahmslos nur ASCII-Text, der in der Datenbank steckt. Nur sehr wenige Leute denken: „Nun, das sind Geschäftsregeln. So werden unsere Daten verschoben und gesteuert. Wir sollten sie potenziell verschlüsseln, wenn sie sich im Ruhezustand befinden und sich im Speicher befinden motion vielleicht entschlüsseln wir es und behalten es im Gedächtnis “, aber idealerweise sollte es wahrscheinlich auch so sein.
Aber es kommt auf diesen entscheidenden Punkt zurück, dass all diese Daten in irgendeiner Form in einer Datenbank gespeichert sind und der Fokus in der Vergangenheit häufig auf Routern und Switches und Servern und sogar auf der Speicherung und nicht immer auf der Datenbank bei lag das hintere Ende. Weil wir denken, wir haben den Rand des Netzwerks abgedeckt und es ist eine Art typisches altes Netzwerk, das in einem Schloss lebt, und Sie setzen einen Wassergraben darum und hoffen, dass die Bösen das nicht tun schwimmen können. Aber dann haben die Bösen plötzlich herausgefunden, wie man verlängerte Leitern herstellt und sie über den Wassergraben wirft und über den Wassergraben klettert und die Wände hochklettert. Und plötzlich ist dein Wassergraben so ziemlich nutzlos.
Wir befinden uns jetzt also in einem Szenario, in dem sich Organisationen im Aufholmodus eines Sprints befinden. Sie sprinten aus meiner Sicht buchstäblich über alle Systeme, und sicherlich auch über meine Erfahrung. Dabei sind es nicht immer nur diese Web-Einhörner, wie wir sie oft bezeichnen, meistens sind es traditionelle Unternehmensorganisationen, die verletzt werden. Und Sie müssen nicht viel Phantasie haben, um herauszufinden, wer sie sind. Es gibt Websites wie pastebin.net, und wenn Sie zu pastebin.net gehen und einfach eine E-Mail-Liste oder eine Kennwortliste eingeben, werden täglich Hunderttausende Einträge hinzugefügt, für die Beispieldatensätze aufgelistet werden Übrigens bis zu tausend Datensätze mit Vorname, Nachname, Kreditkartendetails, Benutzername, Passwort und entschlüsselten Passwörtern. Wo die Leute diese Liste nehmen, drei oder vier davon überprüfen und entscheiden können, ja, ich möchte diese Liste kaufen, und es gibt normalerweise eine Art Mechanismus, der dem Datenverkäufer eine Art anonymen Zugang bietet.
Das Interessante ist nun, dass, sobald der Partnerunternehmer erkennt, dass er dies kann, es nicht so einfallsreich ist, zu erkennen, dass Sie, wenn Sie 1.000 US-Dollar für den Kauf einer dieser Listen ausgeben, was als Erstes damit machen? Sie versuchen nicht, die Konten aufzuspüren, sondern legen eine Kopie auf pastbin.net zurück und verkaufen zwei Exemplare für jeweils 1.000 US-Dollar, um 1.000 US-Dollar Gewinn zu machen. Und das sind Kinder, die das tun. Es gibt einige extrem große Berufsverbände auf der ganzen Welt, die dies für ihren Lebensunterhalt tun. Es gibt sogar Staaten, die andere Staaten angreifen. Wissen Sie, es wird viel darüber geredet, dass Amerika China angreift, dass China Amerika angreift, es ist nicht ganz so einfach, aber es gibt definitiv Regierungsorganisationen, die Systeme durchbrechen, die ausnahmslos von Datenbanken angetrieben werden. Es geht nicht nur um kleine Organisationen, sondern auch um Länder gegen Länder. Es bringt uns zurück zu der Frage, wo die Daten gespeichert sind. Es ist in einer Datenbank. Welche Kontrollen und Mechanismen gibt es? Oder sie sind ausnahmslos nicht verschlüsselt, und wenn sie verschlüsselt sind, sind es nicht immer alle Daten, vielleicht ist es nur das Passwort, das gesalzen und verschlüsselt wird.
Darum herum haben wir eine Reihe von Herausforderungen mit dem Inhalt dieser Daten und der Art und Weise, wie wir Zugriff auf Daten und SOX-Konformität bieten. Wenn Sie also über Vermögensverwaltung oder Bankgeschäfte nachdenken, haben Sie Organisationen, die sich Sorgen über die Herausforderung der Berechtigung machen. Sie haben Unternehmen, die sich Sorgen um die Einhaltung von Vorschriften im Unternehmensbereich machen. Sie haben behördliche Vorschriften und behördliche Auflagen. Sie haben jetzt Szenarien, in denen wir On-Premise-Datenbanken haben. Wir haben Datenbanken in Rechenzentren von Drittanbietern. Wir haben Datenbanken in Cloud-Umgebungen, daher befinden sich die Cloud-Umgebungen nicht immer im jeweiligen Land. Und so wird dies zu einer immer größeren Herausforderung, nicht nur unter dem Gesichtspunkt der reinen Sicherheit, sondern auch, wie wir die verschiedenen Compliance-Levels erfüllen können. Nicht nur die HIPAA- und ISO-Standards, sondern es gibt buchstäblich Dutzende und Dutzende von diesen auf staatlicher, nationaler und globaler Ebene, die Grenzen überschreiten. Wenn Sie mit Australien Geschäfte machen, können Sie keine Regierungsdaten verschieben. Alle australischen privaten Daten können die Nation nicht verlassen. Wenn Sie in Deutschland sind, ist es noch strenger. Und ich weiß, dass die USA aus verschiedenen Gründen sehr schnell vorankommen.
Aber es bringt mich wieder auf die ganze Herausforderung zurück: Woher wissen Sie, was in Ihrer Datenbank passiert, wie überwachen Sie es, wie sagen Sie, wer was in der Datenbank tut, wer Ansichten von verschiedenen Tabellen, Zeilen, Spalten und Feldern hat? Wann lesen sie es, wie oft lesen sie es und wer verfolgt es? Und ich denke, das bringt mich zu meinem letzten Punkt, bevor ich heute unserem Gast übergebe, der uns dabei helfen wird, darüber zu sprechen, wie wir dieses Problem lösen. Aber ich möchte uns diesen einen Gedanken überlassen, und das heißt, ein Großteil des Fokus liegt auf den Kosten für das Unternehmen und den Kosten für die Organisation. Und wir werden diesen Punkt heute nicht im Detail behandeln, aber ich möchte es nur in unseren Gedanken belassen, um darüber nachzudenken, und das heißt, es gibt eine Schätzung zwischen 135 und 585 US-Dollar pro Datensatz, die nach einer Verletzung beseitigt werden muss. Die Investition, die Sie in Ihre Sicherheit in Bezug auf Router, Switches und Server tätigen, ist also in Ordnung und in Firewalls. Aber wie viel haben Sie in Ihre Datenbanksicherheit investiert?
Aber es ist eine falsche Wirtschaft, und als Yahoo in letzter Zeit gegen diese Regeln verstoßen hat, und ich bin zuversichtlich, dass dies ungefähr eine Milliarde Konten sind, nicht 500 Millionen. Als Verizon die Organisation für etwa 4, 3 Milliarden kaufte, verlangten sie sofort nach dem Verstoß eine Milliarde Dollar oder einen Rabatt. Wenn Sie nun rechnen und sagen, dass ungefähr eine Milliarde Datensätze verletzt wurden, ein Rabatt von einer Milliarde US-Dollar, wird die Schätzung von 135 bis 535 US-Dollar für die Bereinigung eines Datensatzes jetzt zu 1 US-Dollar. Das ist wiederum lächerlich. Die Bereinigung einer Milliarde Datensätze kostet nicht 1 US-Dollar. Mit 1 USD pro Datensatz bereinigen Sie eine Milliarde Datensätze für einen Verstoß dieser Größe. Sie können nicht einmal eine Pressemitteilung für diese Art von Kosten herausgeben. Deshalb konzentrieren wir uns immer auf die internen Herausforderungen.
Aber eines der Dinge, denke ich, und es ist an uns, dies auf Datenbankebene sehr ernst zu nehmen, weshalb dies ein sehr, sehr wichtiges Thema für uns ist, über das wir sprechen, und das heißt, wir sprechen niemals über den Menschen Maut. Was ist der menschliche Tribut, den wir dafür zahlen? Und ich nehme ein Beispiel, bevor ich mich kurz anschließe. LinkedIn: 2012 wurde das LinkedIn-System gehackt. Es gab eine Reihe von Vektoren und darauf werde ich nicht eingehen. Und Hunderte Millionen Konten wurden gestohlen. Die Leute sagen über 160 Millionen, aber es ist tatsächlich eine viel größere Zahl, es könnten bis zu 240 Millionen sein. Dieser Verstoß wurde jedoch erst Anfang des Jahres angekündigt. Das sind vier Jahre, in denen Hunderte von Millionen Menschen Aufzeichnungen haben. Es gab einige Leute, die mit Kreditkarten für Dienstleistungen bezahlten, und einige mit kostenlosen Konten. Aber LinkedIn ist interessant, weil sie nicht nur Zugriff auf Ihre Kontodaten erhielten, wenn Sie verletzt wurden, sondern auch Zugriff auf alle Ihre Profilinformationen. Also, mit wem Sie verbunden waren und welche Verbindungen Sie hatten, welche Arten von Jobs sie hatten und welche Fähigkeiten sie hatten und wie lange sie in Unternehmen gearbeitet hatten und welche Informationen sie hatten und welche Kontaktdaten sie hatten.
Denken Sie also an die Herausforderung, die wir haben, wenn wir die Daten in diesen Datenbanken sichern und die Datenbanksysteme selbst sichern und verwalten, und an den Einfluss, den diese Daten seit vier Jahren haben. Und die Wahrscheinlichkeit, dass jemand irgendwo in Südostasien zu einem Urlaub auftaucht und seine Daten seit vier Jahren veröffentlicht. Und vielleicht hat jemand im Laufe des Jahres ein Auto gekauft oder einen Wohnungsbaukredit oder zehn Telefone mit Kreditkarten gekauft, um eine gefälschte ID für diese Daten zu erstellen, die es seit vier Jahren gibt - denn selbst die LinkedIn-Daten gaben Ihnen genug Informationen dazu Erstellen Sie ein Bankkonto und einen gefälschten Personalausweis - und Sie steigen in das Flugzeug, machen Urlaub, landen und werden ins Gefängnis geworfen. Und warum wirst du ins Gefängnis geworfen? Nun, weil du deinen Ausweis gestohlen hattest. Jemand hat einen gefälschten Ausweis erstellt und sich wie Sie und Hunderttausende von Dollar verhalten, und sie haben dies vier Jahre lang getan, und Sie wussten nicht einmal davon. Weil es da draußen ist, ist es einfach passiert.
Ich denke, es bringt uns zu dieser zentralen Herausforderung: Woher wissen wir, was in unseren Datenbanken passiert, wie verfolgen wir es, wie überwachen wir es? Und ich freue mich darauf zu hören, wie unsere Freunde von IDERA eine Lösung gefunden haben, um das zu beheben. Und damit werde ich übergeben.
Eric Kavanagh: Okay, Ignacio, der Boden gehört dir.
Ignacio Rodriguez: In Ordnung. Nun, begrüßen Sie alle. Mein Name ist Ignacio Rodriguez, besser bekannt als Iggy. Ich bin bei IDERA und Produktmanager für Sicherheitsprodukte. Wirklich gute Themen, die wir gerade behandelt haben, und wir müssen uns wirklich Sorgen um die Datenschutzverletzungen machen. Wir brauchen strengere Sicherheitsrichtlinien, müssen Schwachstellen identifizieren und Sicherheitsstufen bewerten, Benutzerberechtigungen kontrollieren, die Serversicherheit kontrollieren und Audits einhalten. Ich habe in meiner Vergangenheit Audits durchgeführt, hauptsächlich auf der Oracle-Seite. Ich habe einige auf SQL Server ausgeführt und sie mit Tools oder im Grunde selbst erstellten Skripten ausgeführt. Das war großartig, aber Sie müssen ein Repository erstellen und sicherstellen, dass das Repository sicher ist, und die Skripten müssen ständig mit Änderungen der Prüfer gepflegt werden, was hast du.
Wenn ich bei Werkzeugen gewusst hätte, dass IDERA da draußen ist und ein Werkzeug hat, hätte ich es höchstwahrscheinlich gekauft. Aber auf jeden Fall werden wir über Secure sprechen. Es ist eines unserer Produkte in unserer Sicherheitsproduktlinie. Im Grunde geht es darum, die Sicherheitsrichtlinien zu untersuchen und diese den gesetzlichen Richtlinien zuzuordnen. Sie können einen vollständigen Verlauf der SQL Server-Einstellungen anzeigen und im Grunde genommen auch eine Baseline dieser Einstellungen erstellen und dann mit zukünftigen Änderungen vergleichen. Sie können einen Schnappschuss erstellen, der eine Basis Ihrer Einstellungen ist, und dann nachverfolgen, ob eines dieser Elemente geändert wurde. Außerdem können Sie benachrichtigt werden, wenn Änderungen vorgenommen wurden.
Eines der Dinge, die wir gut machen, ist die Vermeidung von Sicherheitsrisiken und Verstößen. Auf der Sicherheitsberichtskarte erhalten Sie einen Überblick über die wichtigsten Sicherheitslücken auf den Servern. Außerdem wird jede Sicherheitsüberprüfung in Kategorien mit hohem, mittlerem oder niedrigem Risiko eingeteilt. Jetzt können diese Kategorien oder Sicherheitsüberprüfungen geändert werden. Angenommen, Sie haben einige Steuerelemente und verwenden eine der Vorlagen, die wir haben, und Sie entscheiden, dass unsere Steuerelemente wirklich anzeigen oder möchten, dass diese Sicherheitsanfälligkeit nicht wirklich hoch ist, sondern mittelgroß, oder umgekehrt. Möglicherweise sind einige als mittel gekennzeichnet, aber in Ihrer Organisation können alle Einstellungen, die Sie als mittel kennzeichnen möchten, vom Benutzer konfiguriert werden.
Ein weiteres kritisches Thema, das wir untersuchen müssen, ist die Identifizierung der Sicherheitslücken. Verstehen, wer Zugriff auf was hat, und Ermitteln der effektiven Benutzerrechte für alle SQL Server-Objekte. Mit dem Tool werden wir in der Lage sein, die Rechte für alle SQL Server-Objekte durchzugehen und in Kürze einen Screenshot davon zu sehen. Wir melden und analysieren auch Benutzer-, Gruppen- und Rollenberechtigungen. Ein weiteres Merkmal ist, dass wir detaillierte Sicherheitsrisikoberichte liefern. Wir haben sofort einsatzbereite Berichte und enthalten flexible Parameter, mit denen Sie die Berichtstypen erstellen und die Daten anzeigen können, die Prüfer, Sicherheitsbeauftragte und Manager benötigen.
Wie bereits erwähnt, können wir auch Änderungen der Sicherheit, des Risikos und der Konfiguration im Laufe der Zeit vergleichen. Und das sind mit den Schnappschüssen. Und diese Snapshots können so konfiguriert werden, wie Sie möchten - monatlich, vierteljährlich, jährlich -, die innerhalb des Tools geplant werden können. Auch hier können Sie Vergleiche anstellen, um festzustellen, was sich geändert hat. Wenn Sie einen Verstoß hatten, können Sie einen Schnappschuss erstellen, nachdem er korrigiert wurde. Führen Sie einen Vergleich durch, und Sie werden feststellen, dass ein hohes Niveau vorliegt Das mit dem vorherigen Snapshot verbundene Risiko und der anschließende Bericht werden im nächsten Snapshot tatsächlich angezeigt, nachdem korrigiert wurde, dass es sich nicht mehr um ein Problem handelt. Es ist ein gutes Prüfungsinstrument, das Sie dem Prüfer geben können, ein Bericht, den Sie dem Prüfer geben können und der lautet: „Sehen Sie, wir hatten dieses Risiko, wir haben es gemindert, und jetzt ist es kein Risiko mehr.“ Und ich wieder Bei den Schnappschüssen können Sie eine Warnung ausgeben, wenn sich eine Konfiguration ändert. Wenn eine Konfiguration geändert wird und festgestellt wird, dass diese ein neues Risiko darstellt, werden Sie ebenfalls darüber informiert.
Wir haben einige Fragen zu unserer SQL Server-Architektur mit Secure, und ich möchte die Folie hier mit der Aufschrift „Erfassungsdienst“ korrigieren. Wir haben keine Dienste, es sollte sich um „Verwaltungs- und Erfassungsserver“ handeln. „Wir haben unsere Konsole und dann unseren Verwaltungs- und Erfassungsserver. Außerdem verfügen wir über eine agentenlose Erfassung, die an die registrierten Datenbanken gesendet wird und die Daten über Jobs sammelt. Außerdem verfügen wir über ein SQL Server-Repository und arbeiten mit SQL Server Reporting Services zusammen, um Berichte zu planen und benutzerdefinierte Berichte zu erstellen. Auf einer Sicherheitsberichtkarte ist dies der erste Bildschirm, der beim Starten von SQL Secure angezeigt wird. Sie können leicht erkennen, welche kritischen Elemente von Ihnen erkannt wurden. Und wieder haben wir die Höhen, die Medien und die Tiefen. Und dann haben wir auch die Richtlinien, die mit den jeweiligen Sicherheitsüberprüfungen im Spiel sind. Wir haben eine HIPAA-Vorlage. Wir verfügen über IDERA-Sicherheitsstufen 1, 2 und 3-Vorlagen. Wir haben PCI-Richtlinien. Dies sind alles Vorlagen, die Sie verwenden können. Sie können auch hier eine eigene Vorlage erstellen, die auf Ihren eigenen Steuerelementen basiert. Und wieder sind sie änderbar. Sie können Ihre eigenen erstellen. Jede der vorhandenen Vorlagen kann als Basis verwendet werden. Anschließend können Sie die Vorlagen nach Ihren Wünschen ändern.
Eines der schönen Dinge, die zu tun sind, ist zu sehen, wer Berechtigungen hat. Mit diesem Bildschirm können wir sehen, welche SQL Server-Anmeldungen sich im Unternehmen befinden, und Sie können alle zugewiesenen und effektiven Rechte und Berechtigungen in der Serverdatenbank auf Objektebene anzeigen. Das machen wir hier. Sie können erneut die Datenbanken oder Server auswählen und dann den Bericht über die SQL Server-Berechtigungen abrufen. So können Sie sehen, wer welchen Zugriff auf was hat. Ein weiteres nettes Feature ist, dass Sie die Sicherheitseinstellungen vergleichen können. Angenommen, Sie hatten Standardeinstellungen, die unternehmensweit festgelegt werden mussten. Sie könnten dann einen Vergleich aller Ihrer Server durchführen und sehen, welche Einstellungen auf den anderen Servern in Ihrem Unternehmen vorgenommen wurden.
Auch hier sind die Richtlinienvorlagen einige der Vorlagen, die wir haben. Sie verwenden im Grunde wieder eine davon, erstellen Ihre eigenen. Sie können hier Ihre eigene Richtlinie erstellen. Verwenden Sie eine der Vorlagen, und Sie können sie nach Bedarf ändern. Wir können auch die effektiven Rechte für SQL Server anzeigen. Dadurch wird überprüft und nachgewiesen, dass die Berechtigungen für die Benutzer und Rollen korrekt festgelegt wurden. Auch hier können Sie nachsehen und überprüfen, ob die Berechtigungen für Benutzer und die Rollen korrekt festgelegt wurden. Mit den SQL Server-Objektzugriffsrechten können Sie dann die SQL Server-Objektstruktur von der Serverebene bis zu den Rollen und Endpunkten auf Objektebene durchsuchen und analysieren. Außerdem können Sie sofort die zugewiesenen und effektiven geerbten Berechtigungen und sicherheitsrelevanten Eigenschaften auf Objektebene anzeigen. Dies gibt Ihnen einen guten Überblick über die Zugriffe, die Sie auf Ihre Datenbankobjekte haben und wer Zugriff auf diese hat.
Wir haben wieder unsere Berichte, die wir haben. Es handelt sich um vorgefertigte Berichte. Sie können aus mehreren Berichten auswählen, um Ihre Berichte zu erstellen. Viele davon können angepasst werden, oder Sie können Ihre Kundenberichte zusammen mit den Berichtsdiensten verwenden und von dort aus Ihre eigenen benutzerdefinierten Berichte erstellen. Nun zu den Schnappschuss-Vergleichen. Ich denke, dies ist eine ziemlich coole Funktion, mit der Sie Ihre Schnappschüsse vergleichen und feststellen können, ob es Unterschiede in der Anzahl gibt. Wurden Objekte hinzugefügt, wurden Berechtigungen geändert, kann möglicherweise festgestellt werden, welche Änderungen zwischen den verschiedenen Snapshots vorgenommen wurden? Einige Leute sehen sich diese monatlich an - sie machen einen monatlichen Schnappschuss und führen dann jeden Monat einen Vergleich durch, um festzustellen, ob sich etwas geändert hat. Und wenn es nichts gab, was hätte geändert werden sollen, etwas, was zu den Änderungskontrollbesprechungen gegangen ist, und Sie sehen, dass einige Berechtigungen geändert wurden, können Sie zurückgehen und nachsehen, was passiert ist. Dies ist eine sehr schöne Funktion, mit der Sie alles, was in der Momentaufnahme geprüft wurde, erneut vergleichen können.
Dann dein Bewertungsvergleich. Dies ist eine weitere nette Funktion, mit der Sie die Bewertungen ansehen und dann vergleichen können und feststellen können, dass der Vergleich hier über ein SA-Konto verfügt, das in diesem letzten Schnappschuss, den ich erstellt habe, nicht deaktiviert wurde ist jetzt korrigiert. Dies ist eine ziemlich nette Sache, bei der Sie zeigen können, dass wir ein gewisses Risiko hatten, sie wurden vom Tool identifiziert, und jetzt haben wir diese Risiken gemindert. Auch dies ist ein guter Bericht, der den Abschlussprüfern zeigt, dass diese Risiken tatsächlich gemindert und beseitigt wurden.
Zusammenfassend ist die Datenbanksicherheit von entscheidender Bedeutung, und ich denke, dass wir uns häufig mit Verstößen befassen, die von externen Quellen stammen, und dass wir manchmal internen Verstößen nicht allzu viel Aufmerksamkeit schenken, und das sind einige der Dinge, die wir tun müssen aufpassen. Und Secure hilft Ihnen dabei, sicherzustellen, dass es keine Berechtigungen gibt, die nicht zugewiesen werden müssen. Stellen Sie sicher, dass alle diese Sicherheitseinstellungen für die Konten korrekt sind. Stellen Sie sicher, dass Ihre SA-Konten über Kennwörter verfügen. Überprüft auch, ob Ihre Verschlüsselungsschlüssel exportiert wurden? Wir überprüfen nur mehrere verschiedene Dinge und werden Sie darauf hinweisen, ob und auf welcher Ebene ein Problem aufgetreten ist. Wir benötigen ein Tool, viele Fachleute benötigen Tools zum Verwalten und Überwachen von Datenbankzugriffsberechtigungen, und wir möchten eine umfassende Funktion zum Steuern von Datenbankberechtigungen und zum Nachverfolgen von Zugriffsaktivitäten sowie zum Verringern des Risikos von Sicherheitsverletzungen bereitstellen.
Ein weiterer Teil unserer Sicherheitsprodukte ist, dass es ein WebEx gibt, das behandelt wurde, und ein Teil der Präsentation, über die wir zuvor gesprochen haben, waren Daten. Sie wissen, wer auf was zugreift, was Sie haben, und das ist unser SQL Compliance Manager-Tool. Auf diesem Tool ist ein WebEx aufgezeichnet, mit dem Sie überwachen können, wer auf welche Tabellen und Spalten zugreift. Außerdem können Sie Tabellen mit vertraulichen Spalten nach Geburtsdatum, Patienteninformationen und Tabellentypen identifizieren tatsächlich sehen, wer Zugriff auf diese Informationen hat und ob darauf zugegriffen wird.
Eric Kavanagh: Okay, also lassen Sie uns hier auf die Fragen eingehen. Vielleicht, Dez, werfe ich es zuerst zu dir, und Robin, melde dich, wie du kannst.
Dez Blanchfield: Ja, es hat mich gereizt, eine Frage von der 2. und 3. Folie zu stellen. Was ist der typische Anwendungsfall für dieses Tool? Welches sind die häufigsten Nutzertypen, die dies übernehmen und ins Spiel bringen? Und auf der Rückseite des typischen Use-Case-Modells, wie gehen sie damit um? Wie wird es umgesetzt?
Ignacio Rodriguez: Okay, der typische Anwendungsfall, den wir haben, sind Datenbankadministratoren, denen die Zugriffssteuerung für die Datenbank übertragen wurde. Sie stellen sicher, dass alle Berechtigungen so festgelegt sind, wie sie sein müssen, und behalten den Überblick und ihre Standards an Ort und Stelle. Sie wissen, dass diese bestimmten Benutzerkonten nur Zugriff auf diese bestimmten Tabellen usw. haben können. Und was sie damit machen, ist sicherzustellen, dass diese Standards festgelegt wurden und sich diese Standards im Laufe der Zeit nicht geändert haben. Und das ist eines der großen Dinge, für die die Leute es verwenden, ist zu verfolgen und zu identifizieren, ob Änderungen vorgenommen werden, über die nichts bekannt ist.
Dez Blanchfield: Weil sie die gruseligen sind, nicht wahr ? Haben Sie vielleicht ein Strategiedokument, haben Sie Richtlinien, die das untermauern, haben Sie Compliance und Governance darunter und befolgen Sie die Richtlinien, halten Sie sich an die Governance, und es wird grünes Licht gegeben Und dann plötzlich, einen Monat später, bringt jemand eine Änderung heraus und aus irgendeinem Grund durchläuft sie nicht das gleiche Änderungsprüfungsgremium oder den gleichen Änderungsprozess oder was auch immer, oder das Projekt ist einfach weitergegangen und niemand weiß es.
Haben Sie Beispiele, die Sie teilen können? Und ich weiß natürlich, dass Sie diese nicht immer teilen, weil die Kunden etwas besorgt darüber sind. Deshalb müssen wir nicht unbedingt Namen nennen - sondern geben Sie uns ein Beispiel, wo Sie sind Vielleicht haben Sie das tatsächlich gesehen, wissen Sie, eine Organisation hat dies eingerichtet, ohne es zu bemerken, und sie haben einfach etwas gefunden und festgestellt: „Wow, es war zehn Mal wert, wir haben nur etwas gefunden, das wir nicht erkannt haben.“ Haben Sie verstanden? Gibt es ein Beispiel, bei dem die Leute dies implementiert haben und dann festgestellt haben, dass sie ein größeres Problem haben oder ein echtes Problem, das sie nicht erkannt haben, und dann werden Sie sofort auf die Liste der Weihnachtskarten gesetzt?
Ignacio Rodriguez: Nun, ich denke, das größte, was wir gesehen oder berichtet haben, ist das, was ich gerade erwähnt habe, was den Zugang betrifft, den jemand hatte. Es gibt Entwickler, und als sie das Tool implementiert haben, haben sie wirklich nicht bemerkt, dass X-Mengen dieser Entwickler so viel Zugriff auf die Datenbank und Zugriff auf bestimmte Objekte hatten. Und eine andere Sache sind Nur-Lese-Konten. Es gab einige Nur-Lese-Konten, bei denen festgestellt wurde, dass diese Nur-Lese-Konten tatsächlich Daten einfügen und auch Löschrechte besitzen. Hier haben wir einige Vorteile für die Benutzer gesehen. Die große Sache, die wir gehört haben, ist, dass wir die Veränderungen wieder nachverfolgen und sicherstellen können, dass nichts sie blind macht.
Dez Blanchfield: Wie Robin hervorgehoben hat, gibt es Szenarien, die die Leute nicht oft durchdenken, oder? Wenn wir uns freuen, denken wir, wenn wir alles nach den Regeln machen, und ich finde, und ich bin sicher, Sie sehen das auch - sagen Sie mir, wenn Sie nicht damit einverstanden sind -, konzentrieren sich die Organisationen so Sie konzentrieren sich stark auf die Entwicklung von Strategien und Richtlinien sowie auf die Einhaltung und Steuerung von Richtlinien sowie auf KPIs und die Berichterstattung. Und Robin hatte ein wirklich großartiges Beispiel, das ich ihm stehlen werde - sorry Robin -, aber das Beispiel ist das andere Mal, als eine Live-Kopie der Datenbank, ein Schnappschuss und ein Test für die Entwicklung, richtig? Wir machen Entwickler, wir machen Tests, wir machen UAT, wir machen Systemintegration, all diese Sachen und dann machen wir jetzt eine Reihe von Compliance-Tests. Häufig enthält dev test, UAT, SIT eine Compliance-Komponente, in der wir nur sicherstellen, dass alles gesund und sicher ist, aber nicht jeder tut dies. Dieses Beispiel, das Robin mit einer Kopie einer Live-Kopie der Datenbank gab, wurde in einer Entwicklungsumgebung getestet, um festzustellen, ob es mit den Live-Daten noch funktioniert. Nur sehr wenige Unternehmen lehnen sich zurück und denken: "Passiert das überhaupt oder ist es möglich?" Sie sind immer auf die Produktion fixiert. Wie sieht die Umsetzungsreise aus? Sprechen wir über Tage, Wochen, Monate? Wie sieht eine reguläre Bereitstellung für eine mittelgroße Organisation aus?
Ignacio Rodriguez: Tage. Es sind nicht einmal Tage, ich meine, es sind nur ein paar Tage. Wir haben gerade eine Funktion hinzugefügt, mit der wir viele, viele Server registrieren können. Anstatt dort in das Tool hineingehen zu müssen und zu sagen, dass Sie 150 Server hatten, mussten Sie dort einzeln hineingehen und die Server registrieren - jetzt müssen Sie das nicht mehr tun. Sie erstellen eine CSV-Datei, die wir automatisch entfernen und aus Sicherheitsgründen nicht beibehalten. Aber das ist eine andere Sache, die wir berücksichtigen müssen, ist, dass Sie eine CSV-Datei mit Benutzername / Passwort haben werden.
Was wir tun, ist, dass wir es automatisch wieder löschen, aber das ist eine Option, die Sie haben. Wenn Sie dort einzeln reingehen und registrieren möchten und dieses Risiko nicht eingehen möchten, können Sie dies tun. Wenn Sie jedoch eine CSV-Datei verwenden möchten, platzieren Sie sie an einem sicheren Ort, richten Sie die Anwendung auf diesen Ort, die CSV-Datei wird ausgeführt, und die Datei wird automatisch gelöscht, sobald sie fertig ist. Und es wird gehen und sicherstellen, dass die Datei entfernt wird. Der längste Pfahl im Sand, den wir bis zur Implementierung hatten, war die Registrierung der tatsächlichen Server.
Dez Blanchfield: Okay. Jetzt sprachen Sie über Berichte. Können Sie uns ein bisschen mehr Details und einen Einblick in das geben, was vorab gebündelt ist, was es zu berichten gilt? Bis zu Berichten, die sich auf den aktuellen Stand der Compliance und Sicherheit beziehen, wurden diese Berichte erstellt und vorab erstellt. Wie einfach sind sie dann erweiterbar? Wie bauen wir darauf auf?
Ignacio Rodriguez: Okay. Einige der vorliegenden Berichte enthalten Berichte, die sich mit serverübergreifenden Anmeldeprüfungen, Datenerfassungsfiltern, dem Aktivitätsverlauf und anschließend den Risikobewertungsberichten befassen. Und auch alle verdächtigen Windows-Accounts. Es gibt viele, viele hier. Siehe verdächtige SQL-Anmeldungen, Serveranmeldungen und Benutzerzuordnungen, Benutzerberechtigungen, alle Benutzerberechtigungen, Serverrollen, Datenbankrollen, eine gewisse Sicherheitsanfälligkeit oder Berichte zur Authentifizierung im gemischten Modus, Datenbanken zur Aktivierung von Gästen, Sicherheitsanfälligkeit des Betriebssystems über XPSs, die erweiterten Verfahren. und dann die verwundbaren festen Rollen. Das sind einige der Berichte, die wir haben.
Dez Blanchfield: Und Sie haben erwähnt, dass sie bedeutend genug sind und eine Reihe von ihnen, was eine logische Sache ist. Wie einfach ist es für mich, es anzupassen? Wenn ich einen Bericht ausführe und diese großartige Grafik erhalte, aber ich einige Teile herausnehmen möchte, an denen ich nicht wirklich interessiert bin, und ein paar andere Funktionen hinzufügen möchte, gibt es einen Berichtersteller, gibt es eine Art Benutzeroberfläche? und ein Tool zum Konfigurieren und Anpassen oder sogar potenziellen Erstellen eines neuen Berichts?
Ignacio Rodriguez: Wir würden dann die Benutzer anweisen, die Microsoft SQL Report Services zu verwenden, und wir haben viele Kunden, die tatsächlich einige der Berichte nehmen, anpassen und planen, wann immer sie möchten. Einige dieser Mitarbeiter möchten diese Berichte monatlich oder wöchentlich anzeigen. Sie übernehmen die Informationen, die wir haben, übertragen sie in die Reporting Services und führen sie dann von dort aus aus. Wir haben keinen Report Writer in unser Tool integriert, aber wir nutzen die Reporting Services.
Dez Blanchfield: Ich denke, das ist eine der größten Herausforderungen bei diesen Tools. Sie können dort hineinkommen und nach Dingen suchen, aber dann müssen Sie in der Lage sein, sie herauszuholen und sie Leuten zu melden, die nicht unbedingt DBAs und Systemingenieure sind. Es gibt eine interessante Rolle, die sich aus meiner Erfahrung ergibt, und das heißt, Risikobeauftragte waren schon immer in Organisationen, und sie waren überwiegend dort und es gibt eine ganz andere Reihe von Risiken, die wir in letzter Zeit gesehen haben, jetzt jedoch mit Daten Verstöße wurden nicht nur zu einer Sache, sondern zu einem echten Tsunami. Der CRO hat sich von Personal- und Compliance-Verstößen und vom Fokus auf Gesundheit und Sicherheit am Arbeitsplatz auf das Cyber-Risiko verlagert. Sie wissen, Verletzung, Hacking, Sicherheit - viel technischer. Und es wird interessant, weil es viele CROs gibt, die aus einem MBA-Stammbaum und nicht aus einem technischen Stammbaum stammen. Sie müssen sich also ein Bild davon machen, was dies für den Übergang zwischen dem Cyber-Risiko und dem Übergang zu einem bedeutet CRO und so weiter. Aber das Wichtigste, was sie wollen, ist nur die Sichtbarkeitsberichterstattung.
Können Sie uns etwas zur Positionierung in Bezug auf Compliance sagen? Offensichtlich ist eine der großen Stärken davon, dass Sie sehen können, was los ist, Sie können es überwachen, Sie können lernen, Sie können darüber berichten, Sie können darauf reagieren, Sie können sogar einige Dinge verhindern. Die übergeordnete Herausforderung ist die Einhaltung der Governance. Gibt es wichtige Teile davon, die absichtlich mit bestehenden Compliance-Anforderungen oder Branchen-Compliance wie PCI in Verbindung stehen, oder ist es etwas, das auf dem Plan steht? Passt es irgendwie in den Rahmen von COBIT-, ITIL- und ISO-Standards? Wenn wir dieses Tool bereitgestellt haben, gibt es dann eine Reihe von Überprüfungen und Auswuchten, die in diese Frameworks passen, oder wie bauen wir es in diese Frameworks ein? Wo ist die Position im Hinblick auf diese Art von Dingen?
Ignacio Rodriguez: Ja, wir haben Vorlagen, die wir mit dem Tool liefern. Und wir kommen wieder zu dem Punkt, an dem wir unsere Vorlagen neu bewerten und hinzufügen, und es werden bald weitere hinzukommen. FISMA, FINRA, einige zusätzliche Vorlagen, die wir haben. In der Regel überprüfen wir die Vorlagen und prüfen, ob sich Änderungen ergeben haben. Was müssen wir hinzufügen? Und wir wollen tatsächlich an einen Punkt gelangen, an dem sich die Sicherheitsanforderungen erheblich geändert haben. Deshalb suchen wir nach einer Möglichkeit, diese Funktion im laufenden Betrieb zu erweitern. Darauf schauen wir in Zukunft.
Aber im Moment schauen wir uns an, ob wir vielleicht Vorlagen erstellen und die Vorlagen von einer Website abrufen können. Sie können sie herunterladen. Und so gehen wir damit um - wir behandeln sie über Vorlagen, und wir suchen in Zukunft nach Wegen, um dies einfach und schnell erweiterbar zu machen. Denn als ich Auditing gemacht habe, haben sich die Dinge geändert. Ein Auditor würde einen Monat kommen und im nächsten Monat wollen sie etwas anderes sehen. Das ist eine der Herausforderungen bei den Tools, nämlich die Möglichkeit, diese Änderungen vorzunehmen und das zu erhalten, was Sie benötigen, und genau das möchten wir erreichen.
Dez Blanchfield: Ich denke, die Herausforderung eines Auditors ändert sich regelmäßig angesichts der Tatsache, dass sich die Welt schneller bewegt. Und einmal war die Anforderung aus Sicht der Wirtschaftsprüfung nach meiner Erfahrung nur die reine Einhaltung von Handelsvorschriften, und dann wurde sie zur technischen und jetzt zur betrieblichen Einhaltung. Und es gibt all diese anderen Dinge, weißt du, jeden Tag taucht jemand auf und misst dich nicht nur an so etwas wie ISO 9006- und 9002-Betrieb, sondern betrachtet alle möglichen Dinge. Und ich sehe jetzt, dass die 38.000 Serien auch bei ISO eine große Rolle spielen. Ich stelle mir vor, das wird immer anspruchsvoller. Ich bin dabei, Robin zu übergeben, weil ich die Bandbreite ausgelastet habe.
Vielen Dank, dass Sie das gesehen haben, und ich werde auf jeden Fall mehr Zeit damit verbringen, es kennenzulernen, weil ich nicht wirklich begriffen habe, dass es tatsächlich so ausführlich war. Also, danke, Ignacio, ich werde jetzt Robin übergeben. Eine tolle Präsentation, danke. Robin, zu dir rüber.
Dr. Robin Bloor: Okay, Iggy, ich werde dich Iggy nennen, wenn das okay ist. Was mich verwirrt und ich denke, im Lichte einiger der Dinge, die Dez in seinem Vortrag gesagt hat, ist eine Menge los, von denen man sagen muss, dass die Leute sich wirklich nicht um die Daten kümmern. Sie wissen, vor allem, wenn es darum geht, dass Sie nur einen Teil des Eisbergs sehen und wahrscheinlich viel los ist, dass niemand darüber berichtet. Ich bin an Ihrer Perspektive interessiert, wie viele der Kunden, die Sie kennen, oder potenzielle Kunden, die Sie kennen, über das Schutzniveau verfügen, das Sie bieten, und nicht nur dies. sondern auch Ihre Datenzugriffstechnologie? Ich meine, wer da draußen ist gut gerüstet, um mit der Bedrohung umzugehen, ist die Frage?
Ignacio Rodriguez: Wer ist richtig ausgerüstet? Ich meine, viele Kunden, die wir wirklich nicht angesprochen haben, wissen Sie. Sie haben welche gehabt, aber die große Sache ist, dass sie versuchen, mitzuhalten und es aufrechtzuerhalten und sicherzustellen. Das große Problem, das wir gesehen haben, ist - und das habe ich auch, als ich die Compliance durchgeführt habe -, dass Sie, wenn Sie Ihre Skripte ausführten, dies einmal vierteljährlich tun würden, wenn die Prüfer hereinkommen und Sie ein Problem gefunden haben. Nun, raten Sie mal, das ist schon zu spät, Auditing ist da, die Auditoren sind da, sie wollen ihren Bericht, sie kennzeichnen ihn. Und dann bekommen wir entweder eine Note oder es wurde uns gesagt, hey, wir müssen diese Probleme beheben, und dann würde dies eintreten. Es wäre eher eine proaktive Sache, bei der Sie Ihr Risiko finden und das Risiko mindern können, und das ist es was unsere Kunden suchen. Ein Weg, etwas proaktiv zu sein, anstatt reaktiv zu sein, wenn Auditoren hereinkommen und feststellen, dass einige der Zugriffe nicht dort sind, wo sie benötigt werden. Andere Leute haben Administratorrechte und sollten sie nicht haben, diese Art von Dingen. Und dort haben wir viel Feedback von den Leuten gesehen, die das Tool mögen und für die es verwendet wird.
Dr. Robin Bloor: Okay, eine andere Frage, die ich habe, ist in gewisser Hinsicht auch eine offensichtliche Frage, aber ich bin nur neugierig. Wie viele Leute kommen nach einem Hack tatsächlich zu Ihnen? Wo, wissen Sie, Sie das Geschäft bekommen, nicht weil sie auf ihre Umgebung schauten und dachten, dass sie in einer viel besser organisierten Weise gesichert werden müssen, sondern weil sie bereits einige der Probleme hatten Schmerzen.
Ignacio Rodriguez: In meiner Zeit hier bei IDERA habe ich noch keinen gesehen. Um ehrlich zu sein, die meisten Interaktionen, die ich mit den Kunden hatte, mit denen ich zu tun hatte, waren eher der Blick nach vorne und der Versuch, mit dem Auditing zu beginnen, und der Blick auf Privilegien usw. Wie ich schon sagte, ich selbst habe in meiner Zeit hier noch nicht erlebt, dass wir jemanden hatten, der nach einer Verletzung gekommen ist, von dem ich weiß.
Dr. Robin Bloor: Oh, das ist interessant. Ich hätte gedacht, dass es wenigstens ein paar gegeben hätte. Ich schaue mir das an, füge aber auch all die Komplexitäten hinzu, die die Sicherheit von Daten im gesamten Unternehmen auf jede Art und Weise und bei jeder Aktivität, die Sie ausführen, erhöhen. Bieten Sie Beratung direkt an, um Menschen zu helfen? Ich meine, es ist klar, dass man Werkzeuge kaufen kann, aber meiner Erfahrung nach kaufen die Leute oft hoch entwickelte Werkzeuge und verwenden sie sehr schlecht. Bieten Sie spezifische Beratung an - was zu tun ist, wen zu trainieren und ähnliches?
Ignacio Rodriguez: Es gibt einige Dienste, die Sie unterstützen könnten, um einen Teil davon zu ermöglichen. Was die Beratung angeht, bieten wir keine Beratungsdienste an, sondern Schulungen, Sie wissen, wie Sie mit diesen Tools und ähnlichen Dingen umgehen, von denen einige mit dem Support-Level angegangen werden. Aber per se haben wir keine Serviceabteilung, die das erledigt.
Dr. Robin Bloor: Okay. In Bezug auf die von Ihnen abgedeckte Datenbank wird in der Präsentation nur Microsoft SQL Server erwähnt. Tun Sie dies auch für Oracle?
Ignacio Rodriguez: Wir werden zuerst mit Compliance Manager in den Oracle-Bereich expandieren. Wir werden damit ein Projekt starten, also werden wir versuchen, dies auf Oracle auszudehnen.
Dr. Robin Bloor: Und werden Sie wahrscheinlich woanders hingehen?
Ignacio Rodriguez: Ja, das ist etwas, das wir uns auf den Roadmaps ansehen und sehen müssen, wie die Dinge sind, aber das sind einige der Dinge, über die wir nachdenken. Welche anderen Datenbankplattformen müssen wir auch angreifen?
Dr. Robin Bloor: Ich war auch an der Aufteilung interessiert, ich habe kein vorgefasstes Bild davon, aber was die Bereitstellung betrifft, wie viel davon tatsächlich in der Cloud bereitgestellt wird oder ob es fast alles vor Ort ist ?
Ignacio Rodriguez: Alles vor Ort. Wir planen, Secure auch auf Azure auszudehnen.
Dr. Robin Bloor: Das war die Azure-Frage, Sie sind noch nicht da, aber Sie gehen dorthin, es macht sehr viel Sinn.
Ignacio Rodriguez: Ja, wir gehen sehr bald dorthin.
Dr. Robin Bloor: Ja, nach meinem Verständnis von Microsoft gibt es mit Microsoft SQL Server in Azure eine Menge Action. Es wird, wenn Sie möchten, ein wesentlicher Bestandteil dessen, was sie anbieten. Die andere Frage, die mich interessiert - es ist keine technische Frage, es ist eher eine Frage, wie Sie sich engagieren - wer ist der Käufer dafür? Wendet sich die IT-Abteilung an Sie oder werden Sie von CSOs angesprochen, oder handelt es sich um eine andere Art von Personen? Wenn so etwas in Betracht gezogen wird, ist es ein Teil der Betrachtung einer ganzen Reihe von Dingen zur Sicherung der Umwelt? Wie ist die Situation dort?
Ignacio Rodriguez: Es ist eine Mischung. Wir haben CSOs, oft wird sich das Verkaufsteam mit DBAs in Verbindung setzen. Und dann wurden die Datenbankadministratoren erneut damit beauftragt, eine Art von Richtlinien für den Prüfungsprozess festzulegen. Und dann bewerten sie die Werkzeuge und berichten über die Kette und treffen eine Entscheidung, welches Teil sie kaufen möchten. Aber es ist eine gemischte Tüte, wer uns kontaktieren wird.
Dr. Robin Bloor: Okay. Ich denke, ich gebe Eric jetzt zurück, weil wir die Stunde geschafft haben, aber es kann einige Publikumsfragen geben. Eric?
Eric Kavanagh: Ja klar, wir haben hier eine Menge guter Inhalte durchgebrannt. Hier ist eine wirklich gute Frage, die ich von einem der Teilnehmer an Sie rüberwerfe. Er spricht über die Blockchain und darüber, worüber Sie sprechen, und er fragt, ob es eine Möglichkeit gibt, einen schreibgeschützten Teil einer SQL-Datenbank auf etwas zu migrieren, das dem entspricht, was die Blockchain bietet. Es ist eine schwierige Frage.
Ignacio Rodriguez: Ja, ich bin ehrlich zu dir. Ich habe keine Antwort auf diese Frage.
Eric Kavanagh: Ich werde es Robin übergeben. Ich weiß nicht, ob Sie diese Frage gehört haben, Robin, aber er fragt nur, gibt es eine Möglichkeit, den schreibgeschützten Teil einer SQL-Datenbank auf etwas zu migrieren, das dem entspricht, was Blockchain bietet? Was denkst du darüber?
Dr. Robin Bloor: Wenn Sie die Datenbank migrieren, migrieren Sie auch den Datenbankverkehr. Damit ist eine ganze Reihe von Komplexitäten verbunden. Aber Sie würden es aus keinem anderen Grund tun, als die Daten unverletzlich zu machen. Da der Zugriff auf eine Blockchain langsamer sein wird, wissen Sie, wenn Geschwindigkeit Ihr Ding ist - und es fast immer das Ding ist -, würden Sie es nicht tun. Aber wenn Sie einigen Leuten, die so etwas tun, einen verschlüsselten Zugriff auf einen Teil davon gewähren wollen, dann können Sie dies tun, aber Sie müssen einen sehr guten Grund haben. Es ist viel wahrscheinlicher, dass Sie es dort lassen, wo es ist, und es dort sichern, wo es ist.
Dez Blanchfield: Ja, dem stimme ich zu, wenn ich mich schnell wiegen kann. Ich denke, die Herausforderung der Blockchain, auch die Blockchain, die es öffentlich gibt, wird für Bitcoin verwendet - wir finden es schwierig, sie über eine Art von vier Transaktionen pro Minute verteilt zu skalieren. Nicht so sehr wegen der Rechenherausforderung, obwohl es dort ist, finden es die vollen Knoten nur schwer, mit den Datenbank-Volumes Schritt zu halten, die sich vorwärts und rückwärts bewegen, und der Datenmenge, die kopiert wird, weil es jetzt Auftritte sind, nicht nur Megas.
Ich denke aber auch, dass die größte Herausforderung darin besteht, die Architektur der Anwendung zu ändern, da es in einer Datenbank in erster Linie darum geht, alles an einen zentralen Ort zu bringen und Sie das Client-Server-Modell haben. Blockchain ist das Gegenteil; es geht um verteilte Kopien. Es ist in vielerlei Hinsicht eher wie BitTorrent, und das bedeutet, dass viele Kopien derselben Daten vorhanden sind. Und Sie wissen, wie Cassandra und In-Memory-Datenbanken, in denen Sie es verteilen, und viele Server können Ihnen Kopien der gleichen Daten aus einem verteilten Index geben. Ich denke, die beiden Schlüsselelemente, wie Sie sagten, Robin, sind: eines, wenn Sie es sichern und sicherstellen möchten, dass es nicht gestohlen oder gehackt werden kann, ist das großartig, aber es ist noch nicht unbedingt eine Transaktionsplattform, und wir hab das mit dem bitcoin projekt erlebt. Aber in der Theorie haben andere es gelöst. Aber auch architektonisch wissen viele Anwendungen einfach nicht, wie sie aus einer Blockchain abfragen und lesen sollen.
Dort muss noch viel Arbeit geleistet werden. Aber ich denke, der entscheidende Punkt bei dieser Frage ist, wenn ich kann, das Grundprinzip, sie in eine Blockchain zu verschieben. Ich denke, die Frage, die gestellt wird, ist, ob Sie Daten aus einer Datenbank herausnehmen und in eine Form bringen können, die es ist sicherer? Und die Antwort ist, Sie können es in der Datenbank belassen und einfach verschlüsseln. Es gibt jetzt viele Technologien. Verschlüsseln Sie einfach die Daten in Ruhe oder in Bewegung. Es gibt keinen Grund, warum Sie keine Daten im Arbeitsspeicher und in der Datenbank auf der Festplatte verschlüsseln können, was eine weitaus einfachere Herausforderung darstellt, da Sie keine einzige architektonische Änderung vornehmen müssen. Bei den meisten Datenbankplattformen handelt es sich eigentlich nur um eine Funktion, die aktiviert wird.
Eric Kavanagh: Ja, wir haben noch eine letzte Frage, die ich dir stellen werde, Iggy. Es ist ziemlich gut. Welche Art von Steuer gibt es aus Sicht der SLA und Kapazitätsplanung, wenn Sie Ihr System verwenden? Mit anderen Worten, zusätzliche Latenz oder zusätzlicher Durchsatz, wenn in einem Produktionsdatenbanksystem jemand die IDERA-Technologie hier einbeziehen möchte?
Ignacio Rodriguez: Wir sehen wirklich keine großen Auswirkungen. Auch hier handelt es sich um ein Produkt ohne Agenten, und wie ich bereits erwähnte, hängt alles von den Schnappschüssen ab. Secure basiert auf Snapshots. Es wird dort ausgeführt und ein Job erstellt, der dort basierend auf den von Ihnen ausgewählten Intervallen ausgeführt wird. Entweder Sie möchten es noch einmal tun, wöchentlich, täglich, monatlich. Es wird dort rausgehen und diesen Job ausführen und dann die Daten von den Instanzen sammeln. An diesem Punkt kommt die Last dann zu den Verwaltungs- und Erfassungsdiensten zurück. Sobald Sie mit den Vergleichen beginnen und all dies spielt die Last auf der Datenbank keine Rolle mehr. Die gesamte Last befindet sich jetzt auf dem Verwaltungs- und Erfassungsserver, was die Vergleiche und das gesamte Berichtswesen und all das anbelangt. Das einzige Mal, wenn Sie auf die Datenbank zugreifen, ist immer, wenn das eigentliche Snapshot ausgeführt wird. Und wir haben keine Berichte darüber erhalten, dass dies die Produktionsumgebung wirklich schädigt.
Eric Kavanagh: Ja, das ist ein wirklich guter Punkt, den Sie dort machen. Grundsätzlich können Sie nur festlegen, wie viele Schnappschüsse Sie jemals machen, in welchem Zeitintervall und je nachdem, was das sein mag, aber das ist eine sehr intelligente Architektur. Das ist gutes Zeug, Mann. Ihr seid an vorderster Front und versucht, uns vor all den Hackern zu schützen, über die wir in den ersten 25 Minuten der Show gesprochen haben. Und sie sind da draußen, Leute, macht keinen Fehler.
Nun, hören Sie, wir werden einen Link zu diesem Webcast, den Archiven, auf unserer Website insideanalysis.com veröffentlichen. Sie finden Inhalte auf SlideShare und auf YouTube. Und Leute, gute Sachen. Danke für deine Zeit, Iggy, ich liebe deinen Spitznamen übrigens. Damit verabschieden wir uns von Ihnen, Leute. Vielen Dank für Ihre Zeit und Aufmerksamkeit. Wir werden uns beim nächsten Mal bei Ihnen melden. Tschüss.
