Por el personal de Techopedia, 10 de mayo de 2017
Para llevar: El presentador Eric Kavanagh habla sobre la seguridad y los permisos con el Dr. Robin Bloor y Vicky Harp de IDERA.
Actualmente no has iniciado sesión. Inicia sesión o regístrate para ver el video.
Eric Kavanagh: OK, damas y caballeros, hola y bienvenidos de nuevo. ¡Es miércoles, son cuatro tecnologías orientales y en el mundo de la empresa, lo que significa que es hora una vez más de Hot Technologies! Si, de hecho. Presentado por el Grupo Bloor, por supuesto, impulsado por nuestros amigos de Techopedia. El tema de hoy es realmente genial: "Es mejor pedir permiso: mejores prácticas para la privacidad y la seguridad". Es cierto, es un tema difícil, mucha gente habla de ello, pero es bastante serio, y Realmente se está poniendo más serio cada día, francamente. Es un problema grave en muchos sentidos para muchas organizaciones. Vamos a hablar sobre eso y vamos a hablar sobre lo que puede hacer para proteger a su organización de los personajes nefastos que parecen estar por todas partes en estos días.
Así que la presentadora de hoy es Vicky Harp llamando desde IDERA. Puede ver el software IDERA en LinkedIn: me encanta la nueva funcionalidad en LinkedIn. Aunque puedo decir que están moviendo algunas cadenas de ciertas maneras, no permitiéndote acceder a las personas, tratando de hacerte comprar esas membresías premium. Ahí tienes, tenemos a nuestro propio Robin Bloor, que está llamando, él está en el área de San Diego hoy. Y el suyo verdaderamente como moderador / analista.
¿De qué estamos hablando? Violaciones de datos. Acabo de tomar esta información de IdentityForce.com, ya está lista para las carreras. Estamos en mayo, por supuesto, este año, y solo hay un montón de violaciones de datos, hay algunas realmente grandes, por supuesto, por Yahoo! fue grande, y supimos que, por supuesto, el gobierno de los Estados Unidos fue pirateado. Acabamos de hackear las elecciones francesas.
Esto está sucediendo en todo el lugar, continúa y no se detendrá, por lo que es una realidad, es la nueva realidad, como dicen. Realmente necesitamos pensar en formas de hacer cumplir la seguridad de nuestros sistemas y de nuestros datos. Y es un proceso continuo, por lo que es justo a tiempo para pensar en todos los diferentes problemas que entran en juego. Esta es solo una lista parcial, pero le da una perspectiva de cuán precaria es la situación en estos días con los sistemas empresariales. Y antes de este espectáculo, en nuestras bromas previas al show, estábamos hablando de ransomware que ha afectado a alguien que conozco, lo cual es una experiencia muy desagradable, cuando alguien se hace cargo de su iPhone y le exige dinero para que pueda volver a acceder a su teléfono. Pero sucede, le sucede a las computadoras, le sucede a los sistemas, lo vi el otro día, les está sucediendo a los multimillonarios con sus yates. Imagínese ir a su yate un día, tratando de impresionar a todos sus amigos y ni siquiera puede encenderlo, porque un ladrón ha robado el acceso a los controles, el panel de control. Acabo de decir el otro día en una entrevista a alguien, siempre tenga la anulación manual. Como, no soy un gran admirador de todos los autos conectados, incluso los autos pueden ser pirateados. Cualquier cosa que esté conectada a Internet o conectada a una red que pueda ser penetrada puede ser pirateada, cualquier cosa.
Por lo tanto, aquí hay algunos elementos a considerar en términos de enmarcar el contexto de la gravedad de la situación. Los sistemas basados en la web están en todas partes en estos días, continúan proliferando. ¿Cuántas personas compran cosas en línea? Es solo por las nubes en estos días, por eso Amazon es una fuerza tan poderosa en estos días. Es porque mucha gente está comprando cosas en línea.
Entonces, recuerdan en aquel entonces, hace 15 años, la gente estaba bastante nerviosa por poner su tarjeta de crédito en un formulario web para obtener su información, y en ese entonces, el argumento era: "Bueno, si le entrega su tarjeta de crédito a un camarero en un restaurante, entonces eso es lo mismo ”. Entonces, nuestra respuesta es sí, es lo mismo, hay todos estos puntos de control, o puntos de acceso, lo mismo, diferente cara de la misma moneda, donde las personas pueden ser puestas en peligro, donde alguien puede tomar su dinero, o alguien puede robarle.
Luego, IoT, por supuesto, expande el panorama de amenazas, me encanta esa palabra, por órdenes de magnitud. Quiero decir, piénsalo: con todos estos dispositivos nuevos en todas partes, si alguien puede hackear un sistema que los controla, puede poner a todos esos bots en tu contra y causar muchos problemas, por lo que es un problema muy grave. Tenemos una economía global en estos días, que amplía aún más el panorama de amenazas, y además, hay personas en otros países que pueden acceder a la web de la misma manera que usted y yo, y si no sabe hablar ruso, o cualquier otro idioma, tendrá dificultades para comprender lo que sucede cuando piratean su sistema. Así que tenemos avances en redes y virtualización, bueno, eso es bueno.
Pero tengo en el lado derecho de esta imagen aquí, una espada y la razón por la que la tengo allí es porque cada espada corta en ambos sentidos. Es una espada de doble filo, como dicen, y es un viejo cliché, pero significa que la espada que tengo puede hacerte daño o me puede hacer daño a mí. Puede volver a mí, ya sea al recuperarse o por alguien que lo toma. En realidad, es una de las Fábulas de Esopo: a menudo damos a nuestros enemigos las herramientas de nuestra propia destrucción. Es realmente una historia convincente y tiene que ver con alguien que usó un arco y una flecha y derribó un pájaro y el pájaro vio, cuando la flecha se acercaba, esa pluma de uno de sus amigos de aves estaba en el borde de la flecha, en la parte posterior de la flecha para guiarlo, y pensó para sí mismo: "Oh hombre, aquí está, mis propias plumas, mi propia familia van a ser utilizadas para derribarme". Eso sucede todo el tiempo, oyes estadísticas sobre si tienes un arma en la casa, el ladrón puede tomar el arma. Bueno, todo esto es cierto. Entonces, estoy presentando esto como una analogía solo para considerar, todos estos desarrollos diferentes tienen lados positivos y negativos.
Y hablando de, los contenedores para aquellos de ustedes que realmente siguen la vanguardia de la informática empresarial, los contenedores son lo último, la última forma de ofrecer funcionalidad, es realmente la unión de la virtualización en la arquitectura orientada a servicios, al menos para microservicios y es cosas muy interesantes Ciertamente, puede ofuscar sus protocolos de seguridad y sus protocolos de aplicación y sus datos, etc., mediante el uso de contenedores, y eso le da un avance por un período de tiempo, pero tarde o temprano, los malos lo descubrirán, y entonces será aún más difícil evitar que aprovechen sus sistemas. Entonces, está eso, hay una fuerza laboral global que complica la red y la seguridad, y desde donde las personas inician sesión.
Tenemos las guerras de los navegadores que continúan a buen ritmo y requieren un trabajo constante para actualizar y estar al tanto de todo. Seguimos escuchando sobre los viejos navegadores Microsoft Explorer, cómo fueron pirateados y disponibles allí. Por lo tanto, hay más dinero que ganar en la piratería en estos días, hay toda una industria, esto es algo que mi compañero, el Dr. Bloor, me enseñó hace ocho años. Me preguntaba por qué lo estamos viendo tanto, y me recordó Para mí, es toda una industria involucrada en la piratería. Y en ese sentido, la narrativa, que es una de mis palabras menos favoritas sobre seguridad, es realmente muy deshonesta, porque la narración te muestra en todos estos videos y en cualquier tipo de cobertura de noticias alguna piratería que muestran a un tipo con capucha, sentado en su sótano en una habitación oscura iluminada, ese no es el caso en absoluto. Eso no es en absoluto representativo de la realidad. Son hackers solitarios, hay muy pocos hackers solitarios, están ahí afuera, están causando algunos problemas, no van a causar el gran problema, pero pueden hacer mucho dinero. Entonces, lo que sucede es que los piratas informáticos entran y penetran en su sistema y luego venden ese acceso a otra persona, que se da vuelta y se lo vende a otra persona, y luego, en algún momento, alguien explota ese pirateo y se aprovecha de usted. Y hay innumerables formas de aprovechar los datos robados.
Incluso me he estado maravillando sobre cómo hemos estado glamorizando este concepto. Ves este término en todas partes, "pirateo del crecimiento" como si fuera algo bueno. El hackeo de crecimiento, ya sabes, hackear puede ser algo bueno, si estás tratando de trabajar para los buenos, por así decirlo, y hackear un sistema, como si estuviéramos escuchando sobre Corea del Norte y sus lanzamientos de misiles, potencialmente pirateados. eso es bueno. Pero la piratería es a menudo algo malo. Entonces ahora lo estamos glamorizando, casi como Robin Hood, cuando glamorizamos a Robin Hood. Y luego está la sociedad sin dinero en efectivo, algo que francamente se refiere a la luz del día. Todo lo que pienso cada vez que escucho eso es: “¡No, por favor no lo hagas! ¡Por favor no! ”No quiero que todo nuestro dinero desaparezca. Entonces, estos son solo algunos temas a considerar, y nuevamente, es un juego de gato y ratón; nunca se detendrá, siempre habrá necesidad de protocolos de seguridad y de protocolos de seguridad avanzados. Y para monitorear sus sistemas, incluso para saber y sentir quién está ahí fuera, con el entendimiento de que incluso podría ser un trabajo interno. Entonces, es un problema continuo, será un problema continuo durante bastante tiempo, no se equivoquen al respecto.
Y con eso, se lo entregaré al Dr. Bloor, quien puede compartir con nosotros algunas ideas sobre cómo proteger las bases de datos. Robin, llévatelo.
Robin Bloor: OK, uno de los trucos interesantes, creo que ocurrió hace unos cinco años, pero básicamente fue una empresa de procesamiento de tarjetas que fue pirateada. Y una gran cantidad de detalles de la tarjeta fueron robados. Pero lo interesante al respecto, para mí, fue el hecho de que era la base de datos de prueba en la que realmente se metieron, y probablemente fue el caso de que tuvieron muchas dificultades para ingresar a la base de datos real y real de tarjetas de procesamiento. Pero ya sabes cómo es con los desarrolladores, simplemente toman un corte de una base de datos y la introducen allí. Hubiera tenido que haber mucha más vigilancia para detener eso. Pero hay muchas historias de hackeo interesantes, crea en un área, es un tema muy interesante.
Así que, de una forma u otra, voy a repetir algunas de las cosas que dijo Eric, pero es fácil pensar en la seguridad de los datos como un objetivo estático; es más fácil solo porque es más fácil analizar situaciones estáticas y luego pensar en poner defensas, defensas allí, pero no lo es. Es un objetivo móvil y esa es una de las cosas que define el espacio de seguridad. Es solo en la forma en que evoluciona toda la tecnología, también evoluciona la tecnología de los malos. Entonces, breve descripción general: el robo de datos no es nada nuevo, de hecho, el espionaje de datos es un robo de datos y eso ha estado sucediendo durante miles de años, creo.
El mayor robo de datos en esos términos fue que los británicos rompieron los códigos alemanes y los estadounidenses rompieron los códigos japoneses, y prácticamente en ambos casos acortaron la guerra considerablemente. Y solo estaban robando datos útiles y valiosos, era muy inteligente, por supuesto, pero ya sabes, lo que está sucediendo en este momento es muy inteligente de muchas maneras. El robo cibernético nació con Internet y explotó alrededor de 2005. Fui y miré todas las estadísticas y cuando comenzaste a ponerte realmente serio y, de una forma u otra, cifras notablemente altas a partir de 2005. Ha empeorado desde luego. Muchos jugadores, gobiernos están involucrados, empresas involucradas, grupos de hackers e individuos.
Fui a Moscú, que debe haber sido alrededor de cinco años, y de hecho pasé mucho tiempo con un tipo del Reino Unido, que está investigando todo el espacio de piratería. Y dijo que, y no tengo idea de si esto es cierto, solo tengo su palabra, pero suena muy probable, que en Rusia hay algo llamado Business Network, que es un grupo de piratas informáticos que son todos, ya sabes, salieron de las ruinas de la KGB. Y se venden a sí mismos, no solo, quiero decir, estoy seguro de que el gobierno ruso los usa, sino que se venden a cualquiera, y se rumoreaba, o él dijo que se rumoreaba, que varios gobiernos extranjeros estaban usando la Red de Negocios para negación plausible. Estos tipos tenían redes de millones de PC comprometidas desde las que podían atacar. Y tenían todas las herramientas que puedas imaginar.
Entonces, la tecnología de ataque y defensa evolucionó. Y las empresas tienen el deber de cuidar sus datos, ya sea que los posean o no. Y eso está comenzando a ser mucho más claro en términos de las diversas piezas de regulación que en realidad ya están en vigencia o están entrando en vigencia. Y es probable que mejore, alguien de una forma u otra, alguien tiene que asumir el costo de la piratería de tal manera que se incentive a cerrar la posibilidad. Esa es una de las cosas que supongo que es necesaria. Entonces, sobre los piratas informáticos, se pueden ubicar en cualquier lugar. Particularmente dentro de su organización, una gran cantidad de los trucos ingeniosos de los que he oído involucraron a alguien abriendo la puerta. Ya sabes, la persona, es como la situación del ladrón de bancos, casi siempre solían decir que en los buenos robos de bancos hay una información privilegiada. Pero la información privilegiada solo necesita dar información, por lo que es difícil obtenerla, saber quién era, y así sucesivamente.
Y puede ser difícil llevarlos ante la justicia, porque si ha sido pirateado por un grupo de personas en Moldavia, incluso si sabe que fue ese grupo, ¿cómo va a hacer que ocurra algún tipo de evento legal a su alrededor? Es una especie de, de una jurisdicción a otra, es solo que no hay un muy buen conjunto de acuerdos internacionales para precisar a los piratas informáticos. Comparten tecnología e información; Mucho de esto es de código abierto. Si desea crear su propio virus, hay un montón de kits de virus por ahí, completamente de código abierto. Y tienen recursos considerables, ha habido un número que ha tenido botnets en más de un millón de dispositivos comprometidos en centros de datos y en PC, etc. Algunos son negocios rentables que han estado funcionando durante mucho tiempo, y luego están los grupos gubernamentales, como mencioné. Es improbable, como dijo Eric, es poco probable que este fenómeno termine alguna vez.
Entonces, este es un truco interesante, solo pensé en mencionarlo, porque fue un truco bastante reciente; Sucedió el año pasado. Hubo una vulnerabilidad en el contrato DAO asociado con la moneda criptográfica Etherium. Y se discutió en un foro, y en un día, el contrato DAO fue pirateado, utilizando esa vulnerabilidad con precisión. Se extrajeron $ 50 millones en éter, causando una crisis inmediata en el proyecto DAO y cerrándolo. Y el Etherium realmente luchó para tratar de evitar que el pirata informático tuviera acceso al dinero, y redujeron su toma. Pero también se creía, no se sabía con certeza, que el pirata informático realmente redujo el precio del éter antes de su ataque, sabiendo que el precio del éter colapsaría y, por lo tanto, obtendría ganancias de otra manera.
Y esa es otra estratagema, si lo desea, que los hackers pueden usar. Si pueden dañar el precio de su acción, y saben que lo harán, entonces solo es necesario que reduzcan el precio de la acción y hagan el pirateo, por lo que es algo así, estos tipos son inteligentes, ¿sabe? Y el precio es el robo total de dinero, la interrupción y el rescate, incluidas las inversiones, donde interrumpe y acorta el stock, el sabotaje, el robo de identidad, todo tipo de estafas, solo por el bien de la publicidad. Y tiende a ser política, o obviamente, espionaje de información e incluso hay personas que se ganan la vida con las recompensas de errores que puedes obtener al tratar de hackear Google, Apple, Facebook, incluso el Pentágono, en realidad da recompensas de errores. Y tú simplemente pirateas; si tiene éxito, entonces solo ve y reclama tu premio, y no se hace daño, así que eso es algo bueno, ya sabes.
También podría mencionar el cumplimiento y la regulación. Además de las iniciativas del sector, hay un montón de regulaciones oficiales: HIPAA, SOX, FISMA, FERPA y GLBA son leyes de los Estados Unidos. Hay normas; PCI-DSS se ha convertido en un estándar bastante general. Y luego está ISO 17799 sobre la propiedad de los datos. Las regulaciones nacionales difieren de un país a otro, incluso en Europa. Y actualmente el RGPD: los datos globales, ¿qué significa? Creo que representa el Reglamento Global de Protección de Datos, pero entrará en vigencia el próximo año, según dijo. Y lo interesante de esto es que se aplica en todo el mundo. Si tiene 5.000 o más clientes, sobre los cuales tiene información personal y viven en Europa, Europa realmente lo llevará a la tarea, sin importar si su corporación tiene su sede central o dónde opera. Y las sanciones, la pena máxima es del cuatro por ciento de los ingresos anuales, que es enorme, por lo que será un giro interesante en el mundo, cuando entre en vigor.
Cosas para pensar, bueno, las vulnerabilidades de DBMS, la mayoría de los datos valiosos en realidad se encuentran en bases de datos. Es valioso porque hemos dedicado mucho tiempo a ponerlo a disposición y organizarlo bien y eso lo hace más vulnerable, si en realidad no aplica los valores DBMS correctos. Obviamente, si va a planificar cosas como esta, debe identificar qué datos vulnerables hay en toda la organización, teniendo en cuenta que los datos pueden ser vulnerables por diferentes razones. Pueden ser datos del cliente, pero igualmente podrían ser documentos internos que serían valiosos para fines de espionaje, etc. La política de seguridad, particularmente en relación con la seguridad de acceso, que en los últimos tiempos ha sido muy débil en el nuevo material de código abierto, el cifrado se está utilizando más porque es bastante sólida.
El costo de una violación de seguridad, la mayoría de la gente no lo sabía, pero si realmente observa lo que sucedió con las organizaciones que han sufrido violaciones de seguridad, resulta que el costo de una violación de seguridad a menudo es mucho más alto de lo que cree que sería . Y luego, otra cosa en la que pensar es en la superficie de ataque, porque cualquier pieza de software en cualquier lugar que se ejecute con sus organizaciones presenta una superficie de ataque. Al igual que cualquiera de los dispositivos, también lo hacen los datos, sin importar cómo estén almacenados. Es todo, la superficie de ataque está creciendo con Internet de las cosas, la superficie de ataque probablemente se va a duplicar.
Entonces, finalmente, DBA y seguridad de datos. La seguridad de los datos suele ser parte de la función del DBA. Pero también es colaborativo. Y debe estar sujeto a la política corporativa, de lo contrario, probablemente no se implementará bien. Dicho esto, creo que puedo pasar el balón.
Eric Kavanagh: Muy bien, déjame darle las llaves a Vicky. Y puede compartir su pantalla o moverse a estas diapositivas, depende de usted, quítela.
Vicky Harp: No, comenzaré con estas diapositivas, muchas gracias. Entonces, sí, solo quería tomar un momento rápido y presentarme. Soy Vicky Harp Soy gerente de gestión de productos para productos SQL en el software IDERA, y para aquellos de ustedes que no estén familiarizados con nosotros, IDERA tiene una serie de líneas de productos, pero estoy hablando del lado del servidor SQL. Y así, hacemos monitoreo del desempeño, cumplimiento de seguridad, respaldo, herramientas de administración, y es solo una especie de lista de ellos. Y, por supuesto, de lo que estoy aquí para hablar hoy es de seguridad y cumplimiento.
La mayor parte de lo que quiero hablar hoy no son necesariamente nuestros productos, aunque tengo la intención de mostrar algunos ejemplos de eso más adelante. Quería hablarle más sobre la seguridad de la base de datos, algunas de las amenazas en el mundo de la seguridad de la base de datos en este momento, algunas cosas para pensar y algunas de las ideas introductorias de lo que debe estar buscando para proteger su SQL Bases de datos del servidor y también para asegurarse de que cumplen con el marco regulatorio al que puede estar sujeto, como se mencionó. Hay muchas regulaciones diferentes en el lugar; van a diferentes industrias, diferentes lugares del mundo, y estas son cosas en las que pensar.
Por lo tanto, quiero tomarme un momento y hablar sobre el estado de las infracciones de datos, y no repetir demasiado de lo que ya se ha discutido aquí, estuve revisando este estudio de investigación de seguridad de Intel recientemente, y a través de ellos, creo Alrededor de 1500 organizaciones con las que hablaron: tenían un promedio de seis violaciones de seguridad, en términos de violaciones de pérdida de datos, y el 68 por ciento de ellas habían requerido divulgación en algún sentido, por lo que afectaron el precio de las acciones o tuvieron que hacer algún crédito monitoreo para sus clientes o sus empleados, etc.
Algunas otras estadísticas interesantes son los actores internos que fueron responsables del 43 por ciento de ellos. Por lo tanto, mucha gente piensa mucho en los piratas informáticos y este tipo de organizaciones cuasigubernamentales sospechosas o el crimen organizado, etc., pero los actores internos aún están tomando medidas directas contra sus empleadores, en una proporción bastante alta de los casos. Y a veces son más difíciles de proteger, porque las personas pueden tener razones legítimas para tener acceso a esos datos. Alrededor de la mitad de eso, el 43 por ciento fue pérdida accidental en algún sentido. Entonces, por ejemplo, en el caso de que alguien se llevara datos a casa y luego perdiera el rastro de esos datos, lo que me lleva a este tercer punto, que es que las cosas en los medios físicos todavía estaban involucradas en el 40 por ciento de las violaciones. Entonces, esas son las llaves USB, las computadoras portátiles de las personas, esos son los medios reales que se grabaron en discos físicos y se sacaron del edificio.
Si lo piensa, ¿tiene un desarrollador que tenga una copia de desarrollo de su base de datos de producción en su computadora portátil? Luego suben a un avión y se bajan del avión, obtienen el equipaje facturado y les roban su computadora portátil. Ahora ha tenido una violación de datos. Es posible que no pienses necesariamente que por eso se tomó esa computadora portátil, es posible que nunca aparezca en la naturaleza. Pero eso todavía es algo que cuenta como una violación, requerirá divulgación, tendrá todos los efectos posteriores de haber perdido esos datos, solo por la pérdida de ese medio físico.
Y la otra cosa interesante es que muchas personas piensan que los datos de crédito y la información de la tarjeta de crédito son los más valiosos, pero ese ya no es el caso. Esos datos son valiosos, los números de tarjetas de crédito son útiles, pero honestamente, esos números se cambian muy rápidamente, mientras que los datos personales de las personas no se cambian muy rápidamente. Algo que noticia reciente, relativamente reciente, VTech, un fabricante de juguetes tenía estos juguetes que fueron diseñados para niños. Y las personas tendrían, tendrían los nombres de sus hijos, tendrían información sobre dónde viven los niños, tendrían los nombres de sus padres, tenían fotografías de los niños. Nada de eso estaba encriptado, porque no se consideraba importante. Pero sus contraseñas estaban encriptadas. Bueno, cuando la violación sucedió inevitablemente, usted dice: "Está bien, así que tengo una lista de los nombres de los niños, los nombres de sus padres, dónde viven: toda esta información está ahí afuera, y usted está pensando que la contraseña fue la parte más valiosa de eso? ”No lo fue; las personas no pueden cambiar esos aspectos sobre sus datos personales, su dirección, etc. Y, por lo tanto, esa información es realmente muy valiosa y debe protegerse.
Entonces, quería hablar sobre algunas de las cosas que están sucediendo, para contribuir a la forma en que están ocurriendo las brechas de datos en este momento. Uno de los grandes puntos críticos, los espacios en este momento es la ingeniería social. Entonces, la gente lo llama phishing, hay suplantación, etc., donde las personas obtienen acceso a los datos, a menudo a través de actores internos, simplemente convenciéndoles de que se supone que tienen acceso a ellos. Entonces, justo el otro día, tuvimos este gusano de Google Docs que estaba dando vueltas. Y lo que sucedería, y en realidad recibí una copia, aunque afortunadamente no hice clic en él, recibía un correo electrónico de un colega que decía: “Aquí hay un enlace de Google Doc; debes hacer clic en esto para ver lo que acabo de compartir contigo ”. Bueno, en una organización que usa Google Docs, eso es muy convencional, vas a recibir docenas de esas solicitudes por día. Si hace clic en él, le pediría permiso para acceder a este documento, y tal vez diría: "Oye, eso parece un poco extraño, pero ya sabes, también parece legítimo, así que seguiré adelante y haga clic en él ", y tan pronto como lo hizo, le estaba dando acceso a este tercero a todos sus documentos de Google, y así, creando este enlace para que este actor externo tenga acceso a todos sus documentos en Google Drive. Esto gusó por todo el lugar. Golpeó a cientos de miles de personas en cuestión de horas. Y esto fue fundamentalmente un ataque de phishing que Google mismo tuvo que cerrar, porque estaba muy bien ejecutado. La gente se enamoró de eso.
Menciono aquí la violación de SnapChat HR. Esto fue solo una simple cuestión de que alguien enviara un correo electrónico, suplantando que era el CEO, enviando un correo electrónico al departamento de recursos humanos, diciendo: "Necesito que me envíes esta hoja de cálculo". Y les creyeron, y pusieron una hoja de cálculo con 700 empleados diferentes 'información de compensación, sus domicilios, etc., se la enviaron por correo electrónico a esta otra parte, en realidad no era el CEO. Ahora, los datos estaban fuera, y toda la información personal y privada de sus empleados estaba disponible y disponible para su explotación. Entonces, la ingeniería social es algo que lo menciono en el mundo de las bases de datos, porque es algo de lo que puedes tratar de defenderte a través de la educación, pero también debes recordar que en cualquier lugar en el que tienes una persona interactuando con tu tecnología, y Si confía en su buen juicio para evitar un corte de energía, les está pidiendo muchas.
Las personas cometen errores, hacen clic en cosas que no deberían tener, las personas caen en artimañas inteligentes. Y puede esforzarse mucho para protegerlos contra él, pero no es lo suficientemente fuerte, debe tratar de limitar la capacidad de las personas de dar accidentalmente esta información en sus sistemas de bases de datos. La otra cosa que quería mencionar es que obviamente estamos hablando mucho de ransomware, botnets, virus, todas estas diferentes formas automatizadas. Entonces, lo que creo que es importante entender sobre el ransomware es que realmente cambia el modelo de ganancias para los atacantes. En el caso de que esté hablando de una violación, tienen que, en cierto sentido, extraer datos y tenerlos para sí mismos y hacer uso de ellos. Y si sus datos son oscuros, si están cifrados, si son específicos de la industria, tal vez no tengan ningún valor.
Hasta este punto, las personas pueden haber sentido que eso era una protección para ellos: "No necesito protegerme de una violación de datos, porque si van a entrar en mi sistema, todo lo que van a tener es decir, soy un estudio de fotografía, tengo una lista de quién vendrá en qué días para el próximo año. ¿A quién le importa eso? ”Bueno, resulta que la respuesta es que te importa eso; está almacenando esa información, es su información crítica para el negocio. Entonces, al usar ransomware, un atacante dirá: "Bueno, nadie más me va a dar dinero por esto, pero tú lo harás". Entonces, aprovechan el hecho de que ni siquiera tienen que sacar los datos, no lo hacen ' Incluso tienen que tener una violación, solo necesitan usar herramientas de seguridad ofensivamente contra usted. Entran en su base de datos, encriptan el contenido de la misma y luego dicen: "OK, tenemos la contraseña, y tendrá que pagarnos $ 5, 000 para obtener esa contraseña, o simplemente no tiene". estos datos nunca más ".
Y la gente paga; se encuentran teniendo que hacer eso. MongoDB tuvo un gran problema hace un par de meses, supongo que fue en enero, donde el ransomware golpeó, creo, más de un millón de bases de datos MongoDB que tienen en público en Internet, según algunas configuraciones predeterminadas. Y lo que lo hizo aún peor es que las personas estaban pagando, por lo que otras organizaciones entrarían y volverían a cifrar o afirmarían haber sido las que originalmente lo habían cifrado, así que cuando pagaste tu dinero, y creo que en ese caso fueron pidiendo algo así como $ 500, la gente decía: "OK, pagaría más que eso para pagarle a un investigador que ingrese aquí y me ayude a descubrir qué salió mal. Solo pagaré los $ 500 ". Y ni siquiera se lo estaban pagando al actor adecuado, por lo que se vieron amontonados con diez organizaciones diferentes que les dijeron:" Tenemos la contraseña "o" Hemos tengo el camino para que puedas desbloquear tus datos rescatados ”. Y tendrías que pagarlos todos para que posiblemente funcionen.
También ha habido casos en los que los autores de ransomware tenían errores, es decir, no estamos hablando de que sea una situación perfectamente superior, por lo que incluso una vez que ha sido atacado, incluso una vez que ha pagado, no hay garantía de que esté va a recuperar todos sus datos, algo de esto también se está complicando por las herramientas armadas de InfoSec. Entonces, Shadow Brokers es un grupo que ha estado filtrando herramientas que eran de la NSA. Eran herramientas diseñadas por una entidad gubernamental con fines de espionaje y que en realidad trabajaban contra otras entidades gubernamentales. Algunos de estos han sido ataques de día cero de alto perfil, que básicamente hacen que los protocolos de seguridad conocidos simplemente se hagan a un lado. Y, por lo tanto, hubo una vulnerabilidad importante en el protocolo SMB, por ejemplo, en uno de los últimos vertederos de Shadow Brokers.
Y así, estas herramientas que aparecen aquí pueden, en cuestión de un par de horas, realmente cambiar el juego sobre ti, en términos de tu superficie de ataque. Entonces, cada vez que pienso en esto, es algo que a nivel organizacional, InfoSec de seguridad es su propia función, debe tomarse en serio. Siempre que hablemos de bases de datos, puedo resumirlo un poco, no necesariamente tiene que tener como administrador de la base de datos una comprensión total de lo que está sucediendo con los Shadow Brokers esta semana, pero debe ser consciente de que todo de estos están cambiando, están sucediendo cosas, por lo que el grado en que mantengas tu propio dominio estricto y seguro, realmente te ayudará en el caso de que las cosas te sean arrancadas.
Entonces, quería tomarme un momento aquí, antes de pasar a hablar específicamente sobre SQL Server, para tener una discusión abierta con nuestros panelistas sobre algunas de las consideraciones con la seguridad de la base de datos. Entonces, he llegado a este punto, algunas de las cosas que no hemos mencionado, quería hablar sobre la inyección SQL como un vector. Entonces, esta es la inyección SQL, obviamente es la forma en que las personas insertan comandos en un sistema de base de datos, por malformación de las entradas.
Eric Kavanagh: Sí, en realidad conocí a un chico, creo que fue en la base Andrews de la Fuerza Aérea, hace unos cinco años, un consultor que estaba hablando con él en el pasillo y estábamos compartiendo historias de guerra, sin juego de palabras. - y mencionó que alguien lo había traído para consultar con un miembro militar de alto rango y el tipo le preguntó: "Bueno, ¿cómo sabemos que eres bueno en lo que haces?" Y esto y aquello . Y mientras hablaba con ellos, los usaba en su computadora, ingresó a la red, usó inyección SQL para ingresar al registro de correo electrónico para esa base y para esas personas. ¡Y encontró el correo electrónico de la persona con la que estaba hablando y simplemente le mostró su correo electrónico en su máquina! Y el tipo dijo: "¿Cómo hiciste eso?". Dijo: "Bueno, usé inyección SQL".
Entonces, eso fue solo hace cinco años, y fue en una base de la Fuerza Aérea, ¿verdad? Entonces, quiero decir, en términos de contexto, esto todavía es muy real y podría usarse con efectos realmente terroríficos. Quiero decir, me gustaría saber si hay historias de guerra que Robin tenga sobre el tema, pero todas estas técnicas siguen siendo válidas. Todavía se usan en muchos casos, y se trata de educarse, ¿verdad?
Robin Bloor: Bueno, sí. Sí, es posible defenderse contra la inyección de SQL haciendo el trabajo. Es fácil entender por qué cuando la idea se inventó y proliferó por primera vez, es fácil entender por qué fue tan exitoso, porque simplemente podría pegarlo en un campo de entrada en una página web y obtener que le devuelva datos, u obtener para eliminar datos en la base de datos, o cualquier cosa, simplemente puede inyectar código SQL para hacerlo. Pero es lo que me interesó, es que es, ya sabes, que tendrías que analizar un poco cada pieza de información que se ingresó, pero es muy posible detectar que alguien está intentando hacer eso. Y es realmente, creo que es realmente el, porque la gente todavía se sale con la suya, quiero decir que es realmente extraño que no haya habido una manera fácil de combatir eso. Sabes, que todo el mundo podría usar fácilmente, quiero decir, hasta donde yo sé, no ha habido, Vicky, ¿verdad?
Vicky Harp: Bueno, en realidad algunas de las soluciones de rehenes, como SQL Azure, creo que tienen algunos métodos de detección bastante buenos que se basan en el aprendizaje automático. Probablemente eso sea lo que veremos en el futuro, es algo que está tratando de llegar a un tamaño único para todos. Creo que la respuesta ha sido que no hay una talla única para todos, pero tenemos máquinas que pueden aprender cuál es su talla y asegurarse de que se ajuste a ella, ¿verdad? Y si tiene un falso positivo, es porque realmente está haciendo algo inusual, no porque haya tenido que pasar e identificar minuciosamente todo lo que su aplicación podría hacer.
Creo que una de las razones por las que sigue siendo tan prolífico es que las personas aún dependen de aplicaciones de terceros, y las aplicaciones de los ISV y esas se borran con el tiempo. Entonces, habla de una organización que compró una aplicación de ingeniería que fue escrita en 2001. Y no la han actualizado, porque no ha habido cambios funcionales importantes desde entonces, y el autor original de la misma fue, no eran ingenieros, no eran expertos en seguridad de bases de datos, no hicieron las cosas correctamente en la aplicación y terminaron siendo vectores. Tengo entendido que, creo que fue la violación de datos de Target, la realmente grande, el vector de ataque había sido a través de uno de sus proveedores de aire acondicionado, ¿verdad? Entonces, el problema con esos terceros, puede, si posee su propia tienda de desarrollo, tal vez pueda tener algunas de estas reglas, haciéndolo genéricamente cada vez. Como organización, puede tener cientos o incluso miles de aplicaciones ejecutándose, con todos los diferentes perfiles. Creo que ahí es donde vendrá el aprendizaje automático y comenzará a ayudarnos mucho.
Mi historia de guerra fue la vida educativa. Llegué a ver un ataque de inyección SQL, y algo que nunca se me había ocurrido es usar SQL simple y legible. Hago estas cosas llamadas tarjetas de vacaciones P SQL ofuscadas; Me gusta hacerlo, haces que este SQL parezca lo más confuso posible. Hay un concurso de código C ++ ofuscado que ha estado sucediendo durante décadas, y es la misma idea. Entonces, lo que realmente obtuvo fue la inyección SQL que estaba en un campo de cadena abierto, cerró la cadena, puso el punto y coma, y luego puso el comando exec que luego tenía una serie de números y básicamente estaba usando el comando de conversión para convertir esos números en binario y luego convertirlos, a su vez, en valores de caracteres y luego ejecutarlos. Por lo tanto, no es como si pudieras ver algo que decía: "Eliminar inicio de la tabla de producción", en realidad estaba relleno en campos numéricos que lo hacían mucho más difícil de ver. E incluso una vez que lo viste, para identificar lo que estaba sucediendo, tomó algunas tomas reales de SQL, para poder calcular lo que estaba sucediendo, en qué momento, por supuesto, el trabajo ya estaba hecho.
Robin Bloor: Y una de las cosas que es solo un fenómeno en todo el mundo de la piratería es que si alguien encuentra una debilidad y ocurre en un software que generalmente se vende, uno de los primeros problemas es la contraseña de la base de datos que se le proporcionó cuando se instaló una base de datos, muchas bases de datos en realidad solo eran predeterminadas. Y muchos DBA simplemente nunca lo cambiaron y, por lo tanto, podría lograr ingresar a la red en ese momento; podrías probar esa contraseña y si funcionó, bueno, acabas de ganar la lotería. Y lo interesante es que toda esa información circula de manera muy eficiente y efectiva entre las comunidades de hackers en los sitios web de darknet. Y ellos lo saben. Por lo tanto, pueden hacer un barrido de lo que hay ahí fuera, encontrar algunas instancias y simplemente lanzar automáticamente algún hack de hacking, y están dentro. Y creo que eso es mucha gente que al menos está en En la periferia de todo esto, en realidad no entiendo qué tan rápido la red de piratería responde a la vulnerabilidad.
Vicky Harp: Sí, eso en realidad trae a colación otra cosa que quería mencionar antes de continuar, que es esta noción de relleno de credenciales, que es algo que ha estado apareciendo mucho, y que una vez que tus credenciales han sido robadas para alguien en cualquier lugar, en cualquier sitio, esas credenciales se intentarán reutilizar en todos los ámbitos. Entonces, si está utilizando contraseñas duplicadas, por ejemplo, si sus usuarios son, incluso, digámoslo de esa manera, alguien podría obtener acceso a través de lo que parece ser un conjunto de credenciales completamente válido. Entonces, digamos que he usado mi misma contraseña en Amazon y en mi banco, y también en un foro y que el software del foro fue pirateado, bueno, tienen mi nombre de usuario y mi contraseña. Y luego pueden usar ese mismo nombre de usuario en Amazon, o lo usan en el banco. Y en lo que respecta al banco, fue un inicio de sesión completamente válido. Ahora, puede tomar acciones nefastas a través del acceso completamente autorizado.
Entonces, eso se remonta a lo que estaba diciendo sobre las infracciones internas y los usos internos. Si tiene personas en su organización que usan su misma contraseña para acceso interno que para acceso externo, tiene la posibilidad de que alguien entre y lo suplante a través de una violación en otro sitio que usted no Ni siquiera sé sobre. Y estos datos se difunden muy rápidamente. Hay listas de, creo que la carga más reciente de "he sido pwned" por Troy Hunt, dijo que tenía medio billón de credenciales, que es, si se considera la cantidad de personas en el planeta, eso es un gran cantidad de credenciales que se han puesto a disposición para el relleno de credenciales.
Entonces, voy a profundizar un poco más y hablar sobre la seguridad de SQL Server. Ahora quiero decir que no voy a tratar de darle todo lo que necesita saber para asegurar su SQL Server en los próximos 20 minutos; eso parece un poco difícil. Entonces, incluso para comenzar, quiero decir que hay grupos en línea y recursos en línea que ciertamente puede buscar en Google, hay libros, hay documentos de mejores prácticas en Microsoft, hay un capítulo virtual de seguridad para los asociados profesionales en SQL Server, están en security.pass.org y creo que tienen transmisiones web mensuales y grabaciones de transmisiones web para repasar la forma real y profunda de cómo hacer la seguridad de SQL Server. Pero estas son algunas de las cosas que, hablando con usted como profesionales de datos, como profesionales de TI, como DBA, quiero que sepa que necesita saber sobre la seguridad de SQL Server.
Entonces, el primero es la seguridad física. Entonces, como dije antes, el robo de medios físicos sigue siendo extremadamente común. Y así, el escenario que di con la máquina de desarrollo, con una copia de su base de datos en la máquina de desarrollo que se roba, es un vector extremadamente común, es un vector que debe conocer y tratar de tomar medidas contra él. También es cierto para la seguridad de la copia de seguridad, por lo que siempre que haga una copia de seguridad de sus datos, debe hacer una copia de seguridad cifrada, debe hacer una copia de seguridad en una ubicación segura. Muchas veces, estos datos que realmente estaban protegidos en la base de datos, tan pronto como comienzan a salir a ubicaciones periféricas, a máquinas de desarrollo, a máquinas de prueba, tenemos un poco menos de cuidado con el parcheo, un poco menos cuidado con las personas que tienen acceso a él. Lo siguiente que sabe es que tiene copias de seguridad de la base de datos sin cifrar almacenadas en un recurso público en su organización disponibles para su explotación por parte de muchas personas diferentes. Entonces, piense en la seguridad física y tan simple como, ¿alguien puede caminar y simplemente poner una llave USB en su servidor? No deberías permitir eso.
El siguiente elemento en el que quiero que pienses es en la seguridad de la plataforma, sistema operativo actualizado, parches actualizados. Es muy cansado escuchar a las personas hablar sobre quedarse con versiones anteriores de Windows, versiones anteriores de SQL Server, pensando que el único costo en juego es el costo de la actualización de la licencia, que no es el caso. Estamos con seguridad, es un arroyo que sigue bajando la colina y a medida que pasa el tiempo, se encuentran más exploits. Microsoft en este caso, y otros grupos según sea el caso, actualizarán los sistemas más antiguos hasta cierto punto, y eventualmente dejarán de ser compatibles y no los actualizarán más, porque es solo un proceso interminable de mantenimiento.
Por lo tanto, debe estar en un sistema operativo compatible y debe estar actualizado en sus parches, y hemos descubierto recientemente, como con Shadow Brokers, en algunos casos, Microsoft puede tener una idea de las próximas violaciones de seguridad importantes, antes de ellos hacerse público, antes de la divulgación, así que no te dejes desordenar. Prefiero no tomar el tiempo de inactividad, prefiero esperar y leer cada uno de ellos y decidir. Es posible que no sepa cuál es el valor hasta algunas semanas después de descubrir por qué se produjo este parche. Entonces, mantente al tanto de eso.
Debe tener su firewall configurado. Fue sorprendente en la brecha de SNB cuántas personas estaban ejecutando versiones anteriores de SQL Server con el firewall completamente abierto a Internet, por lo que cualquiera podía entrar y hacer lo que quisieran con sus servidores. Deberías estar usando un firewall. El hecho de que ocasionalmente tenga que configurar las reglas o hacer excepciones específicas para la forma en que está haciendo su negocio es un buen precio a pagar. Necesita controlar el área de superficie en sus sistemas de bases de datos: ¿está coinstalando servicios o servidores web como IIS en la misma máquina? ¿Compartiendo el mismo espacio en disco, compartiendo el mismo espacio de memoria que sus bases de datos y sus datos privados? Trate de no hacer eso, trate de aislarlo, mantenga el área de superficie más pequeña, para que no tenga que preocuparse tanto por asegurarse de que todo eso sea seguro en la parte superior de la base de datos. Puede separarlos físicamente, plataforma, separarlos, darse un poco de espacio para respirar.
No debería tener superadministradores corriendo por todas partes capaces de tener acceso a todos sus datos. Es posible que las cuentas de administrador del sistema operativo no necesariamente necesiten tener acceso a su base de datos, ni a los datos subyacentes en la base de datos mediante encriptación, de lo que hablaremos en un minuto. Y el acceso a los archivos de la base de datos, debe restringir eso también. Es un poco tonto si dijeras, bueno, alguien no puede acceder a estas bases de datos a través de la base de datos; SQL Server en sí no les permitirá acceder a él, pero si luego pueden ir, tomar una copia del archivo MDF real, moverlo simplemente, adjuntarlo a su propio SQL Server, realmente no ha logrado mucho.
Cifrado, por lo que el cifrado es esa famosa espada de doble sentido. Hay muchos niveles diferentes de cifrado que puede hacer a nivel del sistema operativo y la forma contemporánea de hacer cosas para SQL y Windows es con BitLocker y en el nivel de la base de datos se llama TDE o cifrado de datos transparente. Por lo tanto, estas son dos formas de mantener sus datos cifrados en reposo. Si desea mantener sus datos cifrados de manera más completa, puede hacerlo cifrado, lo siento, he dado un paso adelante. Puede hacer conexiones encriptadas para que siempre que esté en tránsito, todavía esté encriptada, de modo que si alguien está escuchando o tiene un hombre en medio de un ataque, tiene cierta protección de esos datos por cable. Sus copias de seguridad deben estar encriptadas, como dije, podrían estar accesibles para otros y luego, si desea que estén encriptadas en la memoria y durante el uso, tenemos encriptación de columnas y luego, SQL 2016 tiene esta noción de "siempre encriptado ", donde en realidad está encriptado en el disco, en la memoria, en el cable, hasta la aplicación que realmente está haciendo uso de los datos.
Ahora, todo este cifrado no es gratuito: hay una sobrecarga de la CPU, a veces existe para el cifrado de columnas y el caso siempre cifrado, hay implicaciones en el rendimiento en términos de su capacidad de hacer búsquedas en esos datos. Sin embargo, este cifrado, si se arma correctamente, significa que si alguien tuviera acceso a sus datos, el daño se reduciría considerablemente, porque pudieron obtenerlo y luego no pudieron hacer nada con él. Sin embargo, esta es también la forma en que funciona el ransomware, es que alguien entra y enciende estos elementos, con su propio certificado o su propia contraseña y no tiene acceso a él. Por eso, es importante asegurarse de que estás haciendo esto y de que tienes acceso a él, pero no lo estás dando, abierto para que lo hagan otros y atacantes.
Y luego, principios de seguridad: no voy a explicar este punto, pero asegúrese de que no todos los usuarios se ejecuten en SQL Server como súper administrador. Sus desarrolladores pueden quererlo, diferentes usuarios pueden quererlo; se sienten frustrados por tener que pedir acceso a elementos individuales, pero debe ser diligente al respecto, y aunque pueda ser más complicado, dé acceso a los objetos y las bases de datos y los esquemas que son válidos para el trabajo en curso, y hay un caso especial, tal vez eso significa un inicio de sesión especial, no necesariamente significa una elevación de derechos, para el usuario promedio del caso.
Y luego, hay consideraciones de cumplimiento normativo que encajan en esto y algunos casos en realidad podrían funcionar a su manera, por lo que hay HIPAA, SOX, PCI: hay todas estas consideraciones diferentes. Y cuando realice una auditoría, se espera que demuestre que está tomando medidas para seguir cumpliendo con esto. Por lo tanto, esto es mucho de lo que debo hacer un seguimiento, diría que como una lista de tareas del DBA, está tratando de garantizar la configuración de cifrado físico de seguridad, está tratando de asegurarse de que el acceso a esos datos esté siendo auditado para sus propósitos de cumplimiento, asegurándose de que sus columnas sensibles, que sepa cuáles son, dónde están, a cuáles debe cifrar y ver el acceso. Y asegurándose de que las configuraciones estén alineadas con las pautas regulatorias a las que está sujeto. Y tiene que mantener todo esto actualizado a medida que las cosas están cambiando.
Entonces, es mucho por hacer, y si tuviera que dejarlo allí, diría que hagas eso. Pero hay muchas herramientas diferentes para eso, por lo que, si puedo en los últimos minutos, quería mostrarles algunas de las herramientas que tenemos en IDERA para eso. Y los dos de los que quería hablar hoy son SQL Secure y SQL Compliance Manager. SQL Secure es nuestra herramienta para ayudar a identificar el tipo de vulnerabilidades de configuración. Sus políticas de seguridad, sus permisos de usuario, sus configuraciones de superficie. Y tiene plantillas para ayudarlo a cumplir con los diferentes marcos regulatorios. Eso en sí mismo, esa última línea, podría ser la razón para que la gente lo considere. Porque leer estas diferentes regulaciones e identificar lo que significan, PCI y luego llevarlo hasta mi servidor SQL en mi tienda, eso es mucho trabajo. Eso es algo por lo que podrías pagar mucho dinero de consultoría; hemos ido y realizado esa consulta, hemos trabajado con las diferentes compañías de auditoría, etc., para encontrar cuáles son esas plantillas, algo que probablemente pasará una auditoría si están en su lugar. Y luego puede usar esas plantillas y verlas en su entorno.
También tenemos otro tipo de herramienta hermana en forma de SQL Compliance Manager, y aquí es donde SQL Secure se trata de la configuración. SQL Compliance Manager se trata de ver qué hizo quién y cuándo. Por lo tanto, es una auditoría, por lo que le permite monitorear la actividad a medida que ocurre y le permite detectar y rastrear quién está accediendo a las cosas. ¿Alguien, el ejemplo prototípico de ser una celebridad ingresada en su hospital, estaba yendo y buscando su información, solo por curiosidad? ¿Tenían alguna razón para hacerlo? Puede echar un vistazo al historial de auditoría y ver qué estaba sucediendo, quién estaba accediendo a esos registros. Y puede identificar que esto tiene herramientas para ayudarlo a identificar columnas sensibles, por lo que no necesariamente tiene que leer y hacerlo todo usted mismo.
Entonces, si puedo, voy a seguir adelante y mostrarles algunas de esas herramientas aquí en estos últimos minutos, y por favor no lo consideren como una demostración en profundidad. Soy gerente de producto, no ingeniero de ventas, por lo que le mostraré algunas de las cosas que considero relevantes para esta discusión. Entonces, este es nuestro producto SQL Secure. Y como puede ver aquí, tengo este tipo de boleta de calificaciones de alto nivel. Corrí esto, creo, ayer. Y me muestra algunas de las cosas que no están configuradas correctamente y algunas de las que están configuradas correctamente. Entonces, puede ver que hay una gran cantidad de más de 100 controles diferentes que hemos hecho aquí. Y puedo ver que mi cifrado de respaldo en los respaldos que he estado haciendo, no he estado usando el cifrado de respaldo. Mi cuenta SA, explícitamente llamada "cuenta SA" no está deshabilitada o renombrada. La función de servidor público tiene permiso, por lo que estas son todas las cosas que me gustaría cambiar.
Tengo la política configurada aquí, así que si quisiera configurar una nueva política, para aplicarla a mis servidores, tenemos todas estas políticas integradas. Por lo tanto, usaré una plantilla de política existente y puede ver que tengo CIS, HIPAA, PCI, SR y en curso, y en realidad estamos en el proceso de agregar continuamente políticas adicionales, basadas en las cosas que las personas necesitan en el campo . Y también puede crear una nueva política, por lo que si sabe lo que está buscando su auditor, puede crearla usted mismo. Y luego, cuando lo haga, puede elegir entre todas estas configuraciones diferentes, lo que necesita establecer, en algunos casos, tiene algunas: déjeme regresar y encontrar una de las preconstruidas. Esto es conveniente, puedo elegir, por ejemplo, HIPAA - Ya tengo HIPAA, mi mal - PCI, y luego, al hacer clic aquí, puedo ver la referencia cruzada externa a la sección del regulación con la que esto está relacionado. Entonces eso te ayudará más tarde, cuando intentes averiguar por qué estoy configurando esto. ¿Por qué estoy tratando de ver esto? ¿Con qué sección está relacionado esto?
Esto también tiene una buena herramienta, ya que te permite entrar y explorar a tus usuarios, por lo que una de las cosas difíciles de explorar tus roles de usuario es que, en realidad, voy a echar un vistazo aquí. Entonces, si muestro permisos para mi, veamos, escojamos un usuario aquí. Mostrar permisos. Puedo ver los permisos asignados para este servidor, pero luego puedo hacer clic aquí y calcular los permisos efectivos, y me dará la lista completa basada en, así que en este caso este es el administrador, así que no es tan emocionante, pero Podría revisar y elegir los diferentes usuarios y ver cuáles son sus permisos efectivos, en función de todos los diferentes grupos a los que podrían pertenecer. Si alguna vez intenta hacer esto por su cuenta, en realidad puede ser un poco complicado, averiguar, OK, este usuario es miembro de estos grupos y, por lo tanto, tiene acceso a estas cosas a través de grupos, etc.
Entonces, la forma en que funciona este producto es que toma instantáneas, por lo que en realidad no es un proceso muy difícil tomar una instantánea del servidor de forma regular y luego guarda esas instantáneas con el tiempo para que pueda comparar los cambios. Por lo tanto, este no es un monitoreo continuo en el sentido tradicional de una herramienta de monitoreo de desempeño; esto es algo que podría haber configurado para ejecutarse una vez por noche, una vez por semana, sin embargo, a menudo cree que es válido, de modo que cuando realice el análisis y haga un poco más, en realidad solo trabajando dentro de nuestra herramienta. No se está conectando demasiado a su servidor, por lo que esta es una pequeña herramienta bastante agradable para trabajar, para cumplir con ese tipo de configuración estática.
La otra herramienta que quiero mostrarles es nuestra herramienta Administrador de cumplimiento. Compliance Manager va a monitorear de una manera más continua. Y verá quién está haciendo qué en su servidor y le permitirá echarle un vistazo. Entonces, lo que hice aquí, en las últimas dos horas, intenté crear algunos pequeños problemas. Entonces, aquí tengo si es un problema o no, podría saberlo, alguien realmente ha creado un inicio de sesión y lo ha agregado a un rol de servidor. Entonces, si entro y miro eso, puedo ver, creo que no puedo hacer clic derecho allí, puedo ver lo que está sucediendo. Por lo tanto, este es mi tablero y puedo ver que tuve una cantidad de inicios de sesión fallidos un poco antes hoy. Tuve un montón de actividad de seguridad, actividad DBL.
Entonces, déjenme ir a mis eventos de auditoría y echar un vistazo. Aquí tengo mis eventos de auditoría agrupados por categoría y objeto de destino, por lo que si miro esa seguridad de antes, puedo ver DemoNewUser, se produjo este inicio de sesión de creación del servidor. Y puedo ver que el SA de inicio de sesión creó esta cuenta DemoNewUser, aquí, a las 2:42 pm Y luego, puedo ver que a su vez, agregar inicio de sesión al servidor, este DemoNewUser se agregó al grupo de administración del servidor, se agregaron al configurar el grupo de administración, se agregaron al grupo sysadmin. Entonces, eso es algo que me gustaría saber que sucedió. También lo configuré para que se rastreen las columnas sensibles de mis tablas, de modo que pueda ver quién ha estado accediendo a ellas.
Entonces, aquí tengo un par de seleccionados que han ocurrido en mi mesa personal, de Adventure Works. Y puedo echar un vistazo y ver que el usuario SA en la tabla Adventure Works hizo una selección de las diez mejores estrellas de persona punto persona. Entonces, tal vez en mi organización no quiero que las personas seleccionen estrellas de persona a persona, o espero que solo ciertos usuarios lo hagan, así que voy a ver esto aquí. Entonces, lo que necesita en términos de su auditoría, podemos configurarlo en función del marco y esta es una herramienta un poco más intensiva. Está utilizando SQL Trace, o eventos SQLX, dependiendo de la versión. Y es algo que tendrá que tener un poco de espacio libre en su servidor para acomodar, pero es una de esas cosas, algo así como un seguro, lo cual es bueno si no tuviéramos que tener un seguro de automóvil: sería un costo que no tendríamos que asumir, pero si tiene un servidor en el que necesita realizar un seguimiento de quién está haciendo qué, es posible que tenga que tener un poco más de margen y una herramienta como esta para hacer esto. Ya sea que esté utilizando nuestra herramienta o la esté implementando usted mismo, en última instancia, será responsable de tener esta información para fines de cumplimiento normativo.
Entonces, como dije, no es una demostración en profundidad, solo un resumen breve y rápido. También quería mostrarle una pequeña herramienta rápida y gratuita en forma de Búsqueda de columnas SQL, que es algo que puede usar para identificar qué columnas en su entorno parecen ser información confidencial. Entonces, tenemos una serie de configuraciones de búsqueda en las que busca los diferentes nombres de columnas que comúnmente contienen datos confidenciales, y luego tengo esta lista completa de las que han sido identificadas. Tengo 120 de ellos, y luego los exporté aquí, para poder usarlos para decir, vamos a ver y asegurarme de que estoy rastreando el acceso al segundo nombre, una persona punto persona o el impuesto sobre las ventas tasa, etc.
Sé que estamos llegando al final de nuestro tiempo aquí. Y eso es todo lo que realmente tenía que mostrarte, ¿alguna pregunta para mí?
Eric Kavanagh: Tengo un par de buenos para ti. Déjame desplazar esto aquí arriba. Uno de los asistentes estaba haciendo una muy buena pregunta. Una de las preguntas es sobre el impuesto sobre el rendimiento, por lo que sé que varía de una solución a otra, pero ¿tiene alguna idea general de cuál es el impuesto sobre el rendimiento para usar las herramientas de seguridad de IDERA?
Vicky Harp: Entonces, en el SQL Secure, como dije, es muy bajo, solo tomará algunas instantáneas ocasionales. E incluso si ha estado funcionando con bastante frecuencia, está obteniendo información estática sobre la configuración, por lo que es muy baja, casi insignificante. En términos de Compliance Manager, es:
Eric Kavanagh: ¿ Como el uno por ciento?
Vicky Harp: Si tuviera que dar un número porcentual, sí, sería un uno por ciento o menos. Es información básica sobre el orden de uso de SSMS e ir a la pestaña de seguridad y expandir las cosas. En el lado de Cumplimiento, es mucho más alto, es por eso que dije que necesita un poco de margen de maniobra, es algo así como mucho más allá de lo que tiene en términos de monitoreo del rendimiento. Ahora, no quiero asustar a la gente, el truco con el monitoreo de Cumplimiento, y si se trata de auditar, es asegurarme de que solo audites sobre lo que vas a tomar medidas. Entonces, una vez que se filtre para decir: "Oye, quiero saber cuándo las personas acceden a estas tablas en particular, y quiero saber cuando las personas acceden, tomar estas acciones en particular", entonces se basará en la frecuencia con la que se hacen estas cosas. sucediendo y cuántos datos estás generando. Si dice: "Quiero el texto completo de SQL de cada selección que alguna vez ocurra en cualquiera de estas tablas", eso será posiblemente gigabytes y gigabytes de datos que SQL Server debe analizar y almacenar almacenados en nuestro producto, etc.
Si lo reduce a un- también habrá más información de la que probablemente podría tratar. Si pudieras llevarlo a un conjunto más pequeño, para que obtengas unos cientos de eventos por día, entonces eso es obviamente mucho más bajo. Entonces, realmente, de alguna manera, el cielo es el límite. Si activa todas las configuraciones en todo el monitoreo de todo, entonces sí, será un éxito de rendimiento del 50 por ciento. Pero si vas a convertirlo en un nivel más moderado y considerado, ¿quizás miraría al 10 por ciento? Realmente, es una de esas cosas que dependerá mucho de su carga de trabajo.
Eric Kavanagh: Sí, claro. Hay otra pregunta sobre el hardware. Y luego, hay vendedores de hardware entrando en el juego y realmente colaborando con vendedores de software y respondí a través de la ventana de preguntas y respuestas. Sé de un caso particular, de Cloudera trabajando con Intel, donde Intel hizo una gran inversión en ellos, y parte del cálculo fue que Cloudera tendría acceso temprano al diseño de chips y, por lo tanto, podría incorporar seguridad al nivel de chip de arquitectura, que es bastante impresionante. Pero no obstante, es algo que va a salir a la luz, y aún puede ser explotado por ambas partes. ¿Conoces alguna tendencia o tendencia de los proveedores de hardware para colaborar con los proveedores de software en el protocolo de seguridad?
Vicky Harp: Sí, en realidad, creo que Microsoft ha colaborado para tener algo de, como, el espacio de memoria para parte del trabajo de cifrado en realidad está sucediendo en chips separados en placas base que están separadas de su memoria principal, por lo que algunos de eso está físicamente separado Y creo que en realidad eso fue algo que vino de Microsoft en términos de ir a los proveedores para decirles: "¿Podemos encontrar una manera de hacer esto? Básicamente es una memoria no direccionable, no puedo a través de un desbordamiento de búfer llegar a este recuerdo, porque ni siquiera está allí, en cierto sentido, así que sé que algo de eso está sucediendo ".
Eric Kavanagh: Sí.
Vicky Harp: Es probable que sean los vendedores realmente grandes, muy probablemente.
Eric Kavanagh: Sí. Tengo curiosidad por ver eso, y tal vez Robin, si tienes un segundo rápido, me gustaría saber tu experiencia a lo largo de los años, porque de nuevo, en términos de hardware, en términos de la ciencia material real en lo que está reuniendo desde el lado del proveedor, esa información podría ir a ambos lados, y teóricamente vamos a ambos lados con bastante rapidez, entonces, ¿hay alguna forma de usar el hardware con más cuidado, desde una perspectiva de diseño para reforzar la seguridad? ¿Qué piensas? Robin, ¿estás mudo?
Robin Bloor: Sí, sí. Lo siento, estoy aquí; Solo estoy reflexionando sobre la pregunta. Para ser honesto, no tengo una opinión, es un área que no he examinado en profundidad significativa, así que estoy como, ya sabes, puedo inventar una opinión, pero realmente no lo sé. Prefiero que las cosas sean seguras en el software, básicamente es la forma en que juego.
Eric Kavanagh: Sí. Bueno, amigos, hemos quemado durante una hora y cambiamos aquí. Muchas gracias a Vicky Harp por su tiempo y atención, por todo su tiempo y atención; Agradecemos que se presente para estas cosas. Tiene mucha importancia; No va a desaparecer pronto. Es un juego de gato y ratón que seguirá y seguirá y seguirá. Y estamos agradecidos de que algunas compañías estén ahí afuera, enfocadas en habilitar la seguridad, pero como Vicky incluso aludió y habló un poco en su presentación, al final del día, son las personas en las organizaciones las que necesitan pensar con mucho cuidado sobre estos ataques de phishing, ese tipo de ingeniería social, y aferrarse a sus computadoras portátiles, ¡no lo deje en la cafetería! Cambie su contraseña, haga lo básico y obtendrá el 80 por ciento del camino.
Entonces, amigos, vamos a despedirnos, gracias una vez más por su tiempo y atención. Nos pondremos en contacto con usted la próxima vez, tenga cuidado. Adiós.
Vicky Harp: Adiós, gracias.