Por el personal de Techopedia, 27 de octubre de 2016
Para llevar: El anfitrión Eric Kavanagh habla sobre la seguridad de la base de datos con Robin Bloor, Dez Blanchfield e Ignacio Rodríguez de IDERA.
Actualmente no has iniciado sesión. Inicia sesión o regístrate para ver el video.
Eric Kavanagh: Hola y bienvenidos nuevamente, a Hot Technologies. Me llamo Eric Kavanagh; Seré su anfitrión para la transmisión por Internet hoy y es un tema candente y nunca será un tema candente. Este es un tema candente ahora debido, francamente, a todas las infracciones de las que escuchamos y puedo garantizarle que nunca desaparecerá. Entonces, el tema de hoy, el título exacto del programa que debo decir, es "La nueva normalidad: lidiar con la realidad de un mundo inseguro". Eso es exactamente con lo que estamos tratando.
Tenemos a tu anfitrión, el tuyo de verdad, allí mismo. Desde hace unos años, ten en cuenta que probablemente debería actualizar mi foto; eso fue 2010. El tiempo vuela. Envíame un correo electrónico con si quieres hacer algunas sugerencias. Así que esta es nuestra diapositiva estándar "hot" para Hot Technologies. Todo el propósito de este espectáculo es realmente definir un espacio en particular. Así que hoy estamos hablando de seguridad, obviamente. Estamos tomando un ángulo muy interesante al respecto, de hecho, con nuestros amigos de IDERA.
Y señalaré que ustedes, como miembros de nuestra audiencia, juegan un papel importante en el programa. Por favor no seas tímido. Envíenos una pregunta en cualquier momento y la haremos cola para las preguntas y respuestas si tenemos suficiente tiempo para ello. Tenemos a tres personas en línea hoy, el Dr. Robin Bloor, Dez Blanchfield e Ignacio Rodríguez, que llama desde una ubicación no revelada. Entonces, antes que nada, Robin, eres el primer presentador. Te entregaré las llaves. Llevatelo.
Dr. Robin Bloor: Bien, gracias por eso, Eric. Asegurar la base de datos: supongo que podríamos decir que la probabilidad de que los datos más valiosos que cualquier compañía presida realmente esté en una base de datos. Así que hay toda una serie de cosas de seguridad de las que podríamos hablar. Pero lo que pensé que haría es hablar sobre el tema de asegurar la base de datos. No quiero quitarle nada a la presentación que va a hacer Ignacio.
Entonces, comencemos, es fácil pensar en la seguridad de los datos como un objetivo estático, pero no lo es. Es un objetivo en movimiento. Y esto es algo importante de entender en el sentido de que los entornos de TI de la mayoría de las personas, particularmente los entornos de TI de grandes empresas, están cambiando todo el tiempo. Y debido a que están cambiando todo el tiempo, la superficie de ataque, las áreas donde alguien puede intentar, de una forma u otra, ya sea desde adentro o desde afuera, comprometer la seguridad de los datos, está cambiando todo el tiempo. Y cuando haces algo como, actualizas una base de datos, no tienes idea si acabas de crear algún tipo de vulnerabilidad para ti. Pero usted no es consciente y puede que nunca se entere hasta que ocurra algo malo.
Hay una breve descripción de la seguridad de los datos. En primer lugar, el robo de datos no es nada nuevo y los datos valiosos están dirigidos. Normalmente es fácil determinar para una organización cuáles son los datos que necesitan para obtener la mayor protección. Un hecho curioso es que la primera, o lo que podríamos decir que es la primera computadora, fue construida por la inteligencia británica durante la Segunda Guerra Mundial con un propósito en mente, y era robar datos de las comunicaciones alemanas.
Por lo tanto, el robo de datos ha sido parte de la industria de TI más o menos desde que comenzó. Se volvió mucho más grave con el nacimiento de internet. Estaba mirando un registro de la cantidad de violaciones de datos que ocurrían año tras año tras año. Y el número se había disparado por encima de 100 en 2005 y, a partir de ese momento, tiende a empeorar cada año.
Se roban cantidades más grandes de datos y se produce un mayor número de ataques. Y esos son los hacks que se informan. Hay una gran cantidad de incidentes que ocurren cuando la compañía nunca dice nada porque no hay nada que la obligue a decir nada. Por lo tanto, mantiene la violación de datos en silencio. Hay muchos jugadores en el negocio de la piratería: gobiernos, empresas, grupos de hackers, individuos.
Una cosa que creo que es interesante mencionar, cuando fui a Moscú, creo que fue hace unos cuatro años, fue una conferencia de software en Moscú, estaba hablando con un periodista especializado en el área de piratería de datos. Y afirmó: y estoy seguro de que tiene razón, pero no lo sé, aparte de que es la única persona que me lo ha mencionado, pero … hay un negocio ruso llamado The Russian Business Network, probablemente tiene un ruso. nombre, pero creo que esa es la traducción al inglés, que en realidad está contratada para hackear.
Entonces, si eres una organización grande en cualquier parte del mundo y quieres hacer algo para dañar a tu competencia, puedes contratar a estas personas. Y si contratas a estas personas, obtienes una negación muy plausible de quién estaba detrás del hack. Porque si se descubre quién está detrás del ataque, indicará que probablemente fue alguien en Rusia quien lo hizo. Y no parece que fueras tratando de dañar a un competidor. Y creo que la Red de Negocios Rusos ha sido contratada por los gobiernos para hacer cosas como piratear bancos e intentar descubrir cómo se mueve el dinero terrorista. Y eso se hace con una negación plausible por parte de gobiernos que nunca admitirán que realmente lo hicieron.
La tecnología de ataque y defensa evoluciona. Hace mucho tiempo solía ir al Chaos Club. Era un sitio en Alemania donde podía registrarse y simplemente podía seguir las conversaciones de varias personas y ver qué había disponible. E hice eso cuando estaba mirando la tecnología de seguridad, creo que alrededor de 2005. Y lo hice solo para ver qué sucedía entonces y lo que me sorprendió fue la cantidad de virus, donde básicamente era un sistema de código abierto. Continué y las personas que habían escrito virus o virus mejorados simplemente estaban pegando el código para que cualquiera lo usara. Y se me ocurrió en el momento en que los hackers pueden ser muy, muy inteligentes, pero hay una gran cantidad de hackers que no son necesariamente inteligentes, pero están usando herramientas inteligentes. Y algunas de esas herramientas son notablemente inteligentes.
Y el punto final aquí: las empresas tienen el deber de cuidar sus datos, ya sea que los posean o no. Y creo que se está volviendo cada vez más realizado de lo que solía ser. Y se está volviendo cada vez más caro, digamos, que una empresa realmente se someta a un hack. Sobre los piratas informáticos, pueden ubicarse en cualquier lugar, quizás sea difícil llevar ante la justicia, incluso si están identificados adecuadamente. Muchos de ellos muy hábiles. Recursos considerables, tienen botnets por todas partes. Se cree que el reciente ataque DDoS que ocurrió proviene de más de mil millones de dispositivos. No sé si eso es cierto o si es solo un reportero que usa un número redondo, pero ciertamente se utilizó una gran cantidad de dispositivos robot para atacar la red DNS. Algunos negocios rentables, hay grupos de gobierno, hay guerra económica, hay guerra cibernética, todo está sucediendo allí, y es poco probable, creo que decíamos en el espectáculo previo, que es poco probable que termine.
Cumplimiento y regulaciones: hay una serie de cosas que realmente suceden. Hay muchas iniciativas de cumplimiento que se basan en el sector, ya sabes, el sector farmacéutico o el sector bancario o el sector de la salud, podrían tener iniciativas específicas que las personas pueden seguir, varios tipos de mejores prácticas. Pero también hay muchas regulaciones oficiales que, debido a que son leyes, tienen sanciones impuestas a cualquiera que viole la ley. Los ejemplos de EE. UU. Son HIPAA, SOX, FISMA, FERPA, GLBA. Hay algunos estándares, PCI-DSS es un estándar para las compañías de tarjetas. ISO / IEC 17799 se basa en tratar de obtener un estándar común. Esta es la propiedad de los datos. Las regulaciones nacionales difieren de un país a otro, incluso en Europa, o quizás uno debería decir, especialmente en Europa, donde es muy confuso. Y hay un GDPR, una regulación de protección de datos global que se está negociando actualmente entre Europa y los Estados Unidos para tratar de armonizar las regulaciones porque hay tantas, comúnmente como internacionales, y luego hay servicios en la nube que podría No creo que sus datos sean internacionales, pero se hicieron internacionales tan pronto como ingresó a la nube, porque se mudaron de su país. Por lo tanto, se trata de un conjunto de regulaciones que se están negociando, de una forma u otra, para tratar la protección de datos. Y la mayor parte de eso tiene que ver con los datos de un individuo, que por supuesto, incluye casi todos los datos de identidad.
Cosas para pensar: vulnerabilidades de la base de datos. Hay una lista de vulnerabilidades que los proveedores de bases de datos conocen e informan cuando son descubiertos y parcheados lo más rápido posible, así que hay todo eso. Hay cosas que se relacionan con él en términos de identificación de datos vulnerables. Uno de los hacks más grandes y exitosos en los datos de pago se realizó a una empresa de procesamiento de pagos. Posteriormente, se hizo cargo porque tenía que entrar en liquidación si no era así, pero los datos no fueron robados de ninguna de las bases de datos operativas. Los datos fueron robados de una base de datos de prueba. Dio la casualidad de que los desarrolladores acababan de tomar un subconjunto de los datos que eran datos reales y los usaron, sin protección alguna, en una base de datos de prueba. La base de datos de prueba fue pirateada y se tomaron de ella una gran cantidad de detalles financieros personales.
La política de seguridad, particularmente en relación con la seguridad de acceso en lo que respecta a las bases de datos, quién puede leer, quién puede escribir, quién puede otorgar permisos, ¿hay alguna forma de que alguien pueda evitar esto? Luego, por supuesto, las encriptaciones de las bases de datos lo permiten. Existe el costo de una violación de seguridad. No sé si es una práctica estándar dentro de las organizaciones, pero sí sé que algunos, como los jefes de seguridad, intentan proporcionar a los ejecutivos una idea de cuál es el costo de una violación de seguridad antes de que ocurra en lugar de después. Y ellos, más o menos, deben hacer eso para asegurarse de obtener la cantidad adecuada de presupuesto para poder defender a la organización.
Y luego la superficie de ataque. La superficie de ataque parece crecer todo el tiempo. Es año tras año, la superficie de ataque parece crecer. En resumen, el rango es otro punto, pero la seguridad de los datos suele ser parte de la función del DBA. Pero la seguridad de los datos también es una actividad de colaboración. Debe tener, si está haciendo seguridad, debe tener una idea completa de las protecciones de seguridad para la organización en su conjunto. Y debe haber una política corporativa al respecto. Si no hay políticas corporativas, terminas con soluciones poco sistemáticas. Ya sabes, banda de goma y plástico, más o menos, intentos de detener la seguridad.
Dicho esto, creo que le entrego a Dez quien probablemente te dará varias historias de guerra.
Eric Kavanagh: Llévatelo, Dez.
Dez Blanchfield: Gracias Robin. Siempre es un acto difícil de seguir. Voy a llegar a esto desde el extremo opuesto del espectro solo para, supongo, darnos una idea de la escala del desafío que estás enfrentando y por qué deberíamos hacer más que solo sentarnos y prestar atención a esto . El desafío que estamos viendo ahora con la escala y la cantidad y el volumen, la velocidad a la que suceden estas cosas, es que lo que estoy escuchando en el lugar ahora es con muchos CXO, no solo CIO, sino ciertamente Los CIO son los que están presentes cuando el dinero se detiene, es que consideran que las violaciones de datos se convierten rápidamente en la norma. Es algo que casi esperan que suceda. Así que están viendo esto desde el punto de vista de: "Está bien, bueno, cuando nos violan, no si, cuando nos violan, ¿qué necesitamos haber hecho al respecto?" Y luego comienzan las conversaciones, ¿Qué están haciendo en los entornos de borde tradicionales y enrutadores, conmutadores, servidores, detección de intrusos, inspección de intrusos? ¿Qué están haciendo en los sistemas mismos? ¿Qué están haciendo con los datos? Y luego todo vuelve a lo que hicieron con sus bases de datos.
Permítanme mencionar un par de ejemplos de algunas de estas cosas que han capturado la imaginación de muchas personas y luego profundizar en, un poco, dividirlas un poco. Así que hemos escuchado en las noticias que Yahoo, probablemente el número más grande que la gente ha escuchado es aproximadamente medio millón, pero en realidad resulta que no es oficialmente más que mil millones: escuché un número extravagante de tres mil millones, pero eso es casi la mitad de la población mundial, así que creo que eso es un poco alto. Pero he sido verificado por varias personas en espacios relevantes que creen que hay más de mil millones de registros que han sido vulnerados de Yahoo. Y este es solo un número alucinante. Ahora, algunos jugadores miran y piensan, bueno, son solo cuentas de correo web, no es gran cosa, pero luego, agregas el hecho de que muchas de esas cuentas de correo web y un número curiosamente alto, más alto de lo que había anticipado, en realidad son cuentas pagas. Ahí es donde las personas ingresan los detalles de su tarjeta de crédito y pagan para eliminar los anuncios, porque están hartos de los anuncios y, por lo tanto, $ 4 o $ 5 al mes están dispuestos a comprar un servicio de almacenamiento en la nube y webmail que no tiene anuncios, y soy uno de esos, y lo tengo en tres proveedores diferentes donde conecto mi tarjeta de crédito.
Entonces, el desafío atrae un poco más la atención porque no es solo algo que está ahí fuera como una frase descartable que dice: "Oh, bueno, Yahoo ha perdido, digamos, entre 500 millones y 1, 000 millones de cuentas", 1, 000 millones lo hacen Suenan muy grandes, y cuentas de correo web, pero los detalles de la tarjeta de crédito, nombre, apellido, dirección de correo electrónico, fecha de nacimiento, tarjeta de crédito, número PIN, lo que quieras, contraseñas, y luego se convierte en un concepto mucho más aterrador. Y nuevamente la gente me dice: "Sí, pero es solo un servicio web, es solo un correo web, no es gran cosa". Y luego digo: "Sí, bueno, esa cuenta de Yahoo también puede haber sido utilizada en los servicios de dinero de Yahoo para comprar y vender acciones ". Entonces se vuelve más interesante. Y a medida que comienza a profundizar en él, se da cuenta de que, bueno, esto en realidad es más que solo mamás y papás en casa, y adolescentes, con cuentas de mensajería, esto es realmente algo en lo que la gente ha estado haciendo transacciones comerciales.
Entonces ese es un extremo del espectro. El otro extremo del espectro es que un proveedor de servicios de salud muy pequeño y de práctica general en Australia tenía alrededor de 1, 000 registros robados. Era un trabajo interno, alguien se fue, solo tenían curiosidad, salieron por la puerta, en este caso era un disquete de 3.5 pulgadas. Fue hace un tiempo, pero se puede ver la era de los medios, pero estaban en tecnología antigua. Pero resultó que la razón por la que tomaron los datos fue porque tenían curiosidad sobre quién estaba allí. Porque tenían mucha gente en esta pequeña ciudad, que era nuestra capital nacional, que eran políticos. Y estaban interesados en saber quién estaba allí y dónde estaban sus vidas y todo ese tipo de información. Entonces, con una fuga de datos muy pequeña que se hizo internamente, un número significativamente grande de políticos en los detalles del gobierno australiano supuestamente estaban en el público.
Tenemos dos extremos diferentes del espectro allí para considerar. Ahora la realidad es que la magnitud de estas cosas es bastante asombrosa y tengo una diapositiva a la que vamos a saltar muy, muy rápido aquí. Hay un par de sitios web que enumeran todo tipo de datos, pero este en particular es de un especialista en seguridad que tenía el sitio web donde puede ir y buscar su dirección de correo electrónico o su nombre, y le mostrará cada incidente de datos incumplimiento en los últimos 15 años que ha podido tener en sus manos, y luego cargar en una base de datos y verificar, y le dirá si ha sido pwned, como es el término. Pero cuando comienzas a mirar algunos de estos números y esta captura de pantalla no se ha actualizado con su última versión, que incluye un par, como Yahoo. Pero solo piense en los tipos de servicios aquí. Tenemos Myspace, tenemos LinkedIn, Adobe. Adobe es interesante porque la gente mira y piensa, bueno, ¿qué significa Adobe? La mayoría de nosotros que estamos descargando Adobe Reader de alguna forma, muchos de nosotros hemos comprado productos de Adobe con una tarjeta de crédito, eso es 152 millones de personas.
Ahora, para el punto de Robin anteriormente, estos son números muy grandes, es fácil sentirse abrumado por ellos. ¿Qué sucede cuando tienes 359 millones de cuentas que han sido violadas? Bueno, hay un par de cosas. Robin destacó el hecho de que esos datos están invariablemente en una base de datos de alguna forma. Ese es el mensaje crítico aquí. Casi nadie en este planeta, que yo sepa, que ejecuta un sistema de cualquier forma, no lo almacena en una base de datos. Pero lo interesante es que hay tres tipos diferentes de datos en esa base de datos. Hay cosas relacionadas con la seguridad, como nombres de usuario y contraseñas, que generalmente están encriptados, pero invariablemente hay muchos ejemplos en los que no lo están. Existe la información real del cliente sobre su perfil y los datos que han estado creando, ya sea un registro de salud o un correo electrónico o un mensaje instantáneo. Y luego está la lógica incorporada real, por lo que esto podría ser procedimientos almacenados, podría ser un montón de reglas, si + this + then + that. E invariablemente, eso es solo texto ASCII atascado en la base de datos, muy pocas personas se sientan allí pensando: “Bueno, estas son reglas de negocios, así es como se mueven y controlan nuestros datos, deberíamos cifrar esto cuando está en reposo y cuando está en tal vez lo descifremos y lo mantengamos en la memoria ", pero lo ideal sería que también lo sea.
Pero se vuelve a este punto clave que todos estos datos están en una base de datos de alguna forma y la mayoría de las veces el foco está, históricamente, en los enrutadores y conmutadores y servidores e incluso en el almacenamiento, y no siempre en la base de datos en La parte de atrás. Porque creemos que tenemos el límite de la red cubierto y que es, más o menos, una vida típica de un castillo, y pones un foso a su alrededor y esperas que los malos no vayan a poder nadar Pero entonces, de repente, los malos descubrieron cómo hacer escaleras extendidas y tirarlas sobre el foso y trepar sobre el foso y trepar por las paredes. Y de repente tu foso es prácticamente inútil.
Así que ahora estamos en el escenario donde las organizaciones están en modo de recuperación en un sprint. Literalmente, están corriendo a través de todos los sistemas, en mi opinión, y ciertamente mi experiencia, en eso, no siempre son solo estos unicornios web, como a menudo nos referimos a ellos, la mayoría de las veces son las organizaciones empresariales tradicionales las que están siendo violadas. Y no tienes que tener mucha imaginación para descubrir quiénes son. Hay sitios web como uno llamado pastebin.net y si va a pastebin.net y simplemente escribe en la lista de correo electrónico o la lista de contraseñas, terminará con cientos de miles de entradas al día que se agregan donde las personas enumeran conjuntos de datos de ejemplo de Por cierto, hasta mil registros de nombre, apellido, detalles de la tarjeta de crédito, nombre de usuario, contraseña, contraseñas descifradas. Donde las personas pueden tomar esa lista, ir y verificar tres o cuatro de ellas y decidir que, sí, quiero comprar esa lista y generalmente hay algún tipo de mecanismo que proporciona algún tipo de puerta de enlace anónima a la persona que vende los datos.
Ahora, lo interesante es que una vez que el emprendedor afiliado se da cuenta de que puede hacer esto, no se necesita mucha imaginación para darse cuenta de que si gasta US $ 1, 000 para comprar una de estas listas, ¿qué es lo primero que hace con ella? No va y trata de rastrear las cuentas, vuelve a poner una copia en pastbin.net y vende dos copias por $ 1, 000 cada una y obtiene una ganancia de $ 1, 000. Y estos son niños que están haciendo esto. Hay algunas organizaciones profesionales extremadamente grandes en todo el mundo que hacen esto para ganarse la vida. Incluso hay estados-naciones que atacan a otros estados. Sabes, se habla mucho de que Estados Unidos ataca a China, China ataca a Estados Unidos, no es tan simple, pero definitivamente hay organizaciones gubernamentales que están violando los sistemas que siempre funcionan con bases de datos. No es solo un caso de pequeñas organizaciones, también son países versus países. Nos devuelve a la cuestión de, ¿dónde se almacenan los datos? Está en una base de datos. ¿Qué controles y mecanismos hay allí? O invariablemente no están encriptados, y si están encriptados, no siempre son todos los datos, tal vez solo la contraseña sea salada y encriptada.
Y en torno a esto, tenemos una serie de desafíos con lo que hay en esos datos y cómo proporcionamos acceso a los datos y el cumplimiento de SOX. Entonces, si piensa en la gestión de patrimonio o la banca, tiene organizaciones que se preocupan por el desafío de credenciales; tienes organizaciones que se preocupan por el cumplimiento en el espacio corporativo; tiene requisitos gubernamentales de cumplimiento y reglamentarios; ahora tiene escenarios en los que tenemos bases de datos locales; tenemos bases de datos en centros de datos de terceros; tenemos bases de datos ubicadas en entornos de nube, por lo que sus entornos de nube no siempre están en el país. Y así, esto se está convirtiendo en un desafío cada vez más grande, no solo desde el punto de vista de la seguridad pura de no ser hackeado, sino también, ¿cómo podemos cumplir con todos los diferentes niveles de cumplimiento? No solo los estándares HIPAA e ISO, sino que literalmente hay docenas y docenas y docenas de estos a nivel estatal, nacional y global que cruzan las fronteras. Si está haciendo negocios con Australia, no puede mover datos del gobierno. Cualquier dato privado australiano no puede salir de la nación. Si estás en Alemania es aún más estricto. Y sé que Estados Unidos se está moviendo muy rápido en esto también por una variedad de razones.
Pero me lleva nuevamente a ese desafío completo de cómo sabes qué está sucediendo en tu base de datos, cómo lo supervisas, cómo sabes quién está haciendo qué en la base de datos, quién tiene vistas de varias tablas, filas, columnas y campos., ¿cuándo lo leen, con qué frecuencia lo leen y quién lo rastrea? Y creo que eso me lleva a mi punto final antes de entregar hoy a nuestro invitado que nos ayudará a hablar sobre cómo resolvemos este problema. Pero quiero dejarnos con este pensamiento y es que gran parte del enfoque está en el costo para el negocio y el costo para la organización. Y no vamos a cubrir este punto en detalle hoy, pero solo quiero dejarlo en mente para reflexionar y es que hay una estimación de aproximadamente entre US $ 135 y US $ 585 por registro para limpiar después de una violación. Entonces, la inversión que realiza en su seguridad en enrutadores, conmutadores y servidores está muy bien y en firewalls, pero ¿cuánto ha invertido en la seguridad de su base de datos?
Pero es una economía falsa y cuando la violación de Yahoo ocurrió recientemente, y lo tengo con buena autoridad, son aproximadamente mil millones de cuentas, no 500 millones. Cuando Verizon compró la organización por algo así como 4, 3 mil millones, tan pronto como ocurrió la violación, solicitaron un reembolso de mil millones de dólares o un descuento. Ahora, si hace los cálculos y dice que hay aproximadamente mil millones de registros que fueron violados, un descuento de mil millones de dólares, el estimado de $ 135 a $ 535 para limpiar un registro ahora se convierte en $ 1. Lo cual, nuevamente, es una farsa. No cuesta $ 1 limpiar mil millones de registros. A $ 1 por registro para limpiar mil millones de registros por una violación de ese tamaño. Ni siquiera puede publicar un comunicado de prensa por ese tipo de costo. Y así, siempre nos enfocamos en los desafíos internos.
Pero creo que es una de las cosas, y nos corresponde tomar esto muy en serio a nivel de la base de datos, por eso es un tema muy, muy importante para nosotros, y es que nunca hablamos de lo humano. Peaje. ¿Cuál es el costo humano en el que incurrimos en esto? Y tomaré un ejemplo antes de terminar rápidamente. LinkedIn: en 2012, el sistema de LinkedIn fue pirateado. Había una serie de vectores y no voy a entrar en eso. Y cientos de millones de cuentas fueron robadas. La gente dice que hay alrededor de 160 millones, pero en realidad es un número mucho mayor, podría llegar a unos 240 millones. Pero esa violación no se anunció hasta principios de este año. Son cuatro años que existen registros de cientos de millones de personas. Ahora, había algunas personas que pagaban por servicios con tarjetas de crédito y algunas personas con cuentas gratuitas. Pero LinkedIn es interesante, porque no solo obtuvieron acceso a los detalles de su cuenta si fue violado, sino que también obtuvieron acceso a toda la información de su perfil. Entonces, con quién estaba conectado y todas las conexiones que tenía, y los tipos de trabajos que tenían y los tipos de habilidades que tenían y cuánto tiempo habían trabajado en empresas y todo ese tipo de información, y sus datos de contacto.
Entonces, piense en el desafío que tenemos para asegurar los datos en estas bases de datos, y asegurar y administrar los sistemas de bases de datos en sí mismos, y el flujo en el impacto, el costo humano de esos datos que están ahí fuera durante cuatro años. Y la probabilidad de que alguien aparezca para unas vacaciones en algún lugar del sudeste asiático y haya tenido sus datos por cuatro años. Y alguien podría haber comprado un automóvil u obtener un préstamo hipotecario o comprar diez teléfonos durante el año con tarjetas de crédito, donde crearon una identificación falsa sobre esos datos que estuvo allí durante cuatro años, porque incluso los datos de LinkedIn le dieron suficiente información para crea una cuenta bancaria y una identificación falsa, y subes al avión, te vas de vacaciones, aterrizas y te encarcelan. ¿Y por qué te encarcelan? Bueno, porque te robaron tu identificación. Alguien creó una identificación falsa y actuó como tú y cientos de miles de dólares y lo hicieron durante cuatro años y ni siquiera lo sabías. Porque está ahí afuera, simplemente sucedió.
Así que creo que nos lleva a este desafío central de cómo sabemos qué está sucediendo en nuestras bases de datos, cómo lo rastreamos, cómo lo monitoreamos. Y espero escuchar cómo nuestros amigos de IDERA han encontrado una solución para abordar eso. Y con eso, lo entregaré.
Eric Kavanagh: Muy bien, Ignacio, el piso es tuyo.
Ignacio Rodríguez: Muy bien. Bien, bienvenidos a todos. Me llamo Ignacio Rodríguez, más conocido como Iggy. Estoy con IDERA y un gerente de producto para productos de seguridad. Muy buenos temas que acabamos de cubrir, y realmente tenemos que preocuparnos por las violaciones de datos. Necesitamos tener políticas de seguridad reforzadas, necesitamos identificar vulnerabilidades y evaluar los niveles de seguridad, controlar los permisos de los usuarios, controlar la seguridad del servidor y cumplir con las auditorías. He estado auditando en mi historia pasada, principalmente en el lado de Oracle. Hice algunos en SQL Server y los estaba haciendo con herramientas o, básicamente, scripts de cosecha propia, lo cual fue genial, pero debe crear un repositorio y asegurarse de que el repositorio sea seguro, constantemente teniendo que mantener los scripts con cambios de los auditores, Que tienes.
Entonces, en herramientas, si hubiera sabido que IDERA estaba allí y tenía una herramienta, lo más probable es que la hubiera comprado. Pero de todos modos, vamos a hablar de Secure. Es uno de nuestros productos en nuestra línea de productos de seguridad y, básicamente, lo que hacemos es observar las políticas de seguridad y asignarlas a las pautas regulatorias. Puede ver un historial completo de la configuración de SQL Server y, básicamente, también puede hacer una línea de base de esa configuración y luego compararla con futuros cambios. Puede crear una instantánea, que es una línea de base de su configuración, y luego puede rastrear si alguna de esas cosas ha cambiado y también recibir alertas si se cambian.
Una de las cosas que hacemos bien es evitar riesgos de seguridad y violaciones. La tarjeta de informe de seguridad le brinda una vista de las principales vulnerabilidades de seguridad en los servidores y, luego, cada verificación de seguridad se clasifica como de riesgo alto, medio o bajo. Ahora, en estas categorías o controles de seguridad, todos estos pueden modificarse. Digamos que si tiene algunos controles y utiliza una de las plantillas que tenemos y decide, bueno, nuestros controles realmente indican o quieren que esta vulnerabilidad no sea realmente alta sino media, o viceversa. Es posible que tenga algunos que están etiquetados como medios, pero en su organización los controles que desea etiquetar, o considerarlos como altos, todos esos ajustes son configurables por el usuario.
Otro tema crítico que debemos analizar es identificar las vulnerabilidades. Comprender quién tiene acceso a qué e identificar los derechos efectivos de cada usuario en todos los objetos de SQL Server. Con la herramienta podremos revisar y ver los derechos en todos los objetos de SQL Server y veremos una captura de pantalla de eso aquí muy pronto. También informamos y analizamos los permisos de usuarios, grupos y roles. Una de las otras características es que entregamos informes detallados de riesgos de seguridad. Tenemos informes listos para usar y contiene parámetros flexibles para que pueda crear los tipos de informes y mostrar los datos que requieren auditores, oficiales de seguridad y gerentes.
También podemos comparar los cambios de seguridad, riesgo y configuración a lo largo del tiempo, como mencioné. Y esos están con las instantáneas. Y esas instantáneas se pueden configurar en la medida en que desee hacerlo (mensual, trimestral, anual) que se pueden programar dentro de la herramienta. Y, de nuevo, puede hacer comparaciones para ver qué ha cambiado y qué tiene de bueno es que si tuviera una violación, podría crear una instantánea después de que se corrigiera, hacer una comparación y vería que había un alto nivel riesgo asociado con la instantánea anterior y luego informar, en realidad verá en la siguiente instantánea después de que se corrigió que ya no era un problema. Es una buena herramienta de auditoría que le puede dar al auditor, un informe que le puede dar a los auditores y decir: "Mire, tuvimos este riesgo, lo mitigamos y ahora ya no es un riesgo". Y, nuevamente, yo mencionado con las instantáneas que puede alertar cuando una configuración cambia, y si se cambia y se detecta una configuración que presenta un nuevo riesgo, también se le notificará al respecto.
Recibimos algunas preguntas sobre nuestra Arquitectura de SQL Server con Secure, y quiero hacer una corrección a la diapositiva aquí donde dice "Servicio de recopilación". No tenemos ningún servicio, debería haber sido "Servidor de administración y recopilación". "Tenemos nuestra consola y luego nuestro Servidor de gestión y recopilación, y tenemos una captura sin agente que saldrá a las bases de datos que se han registrado y recopilará los datos a través de trabajos. Y tenemos un repositorio de SQL Server y trabajamos junto con SQL Server Reporting Services para programar informes y crear informes personalizados también. Ahora en una Tarjeta de informe de seguridad, esta es la primera pantalla que verá cuando se inicie SQL Secure. Verá fácilmente qué elementos críticos tiene que detectó. Y, de nuevo, tenemos los máximos, los medios y los mínimos. Y luego también tenemos las políticas que están en juego con los controles de seguridad particulares. Tenemos una plantilla HIPAA; tenemos plantillas de nivel de seguridad IDERA 1, 2 y 3; Tenemos pautas PCI. Estas son todas las plantillas que puede usar y, nuevamente, puede crear su propia plantilla, basada también en sus propios controles. Y, de nuevo, son modificables. Puedes crear el tuyo. Cualquiera de las plantillas existentes se puede utilizar como línea de base, luego puede modificarlas como desee.
Una de las cosas buenas que hacer es ver quién tiene permisos. Y con esta pantalla aquí, podremos ver qué inicios de sesión de SQL Server hay en la empresa y podrá ver todos los derechos y permisos asignados y efectivos en la base de datos del servidor en el nivel de objeto. Hacemos eso aquí. Podrá seleccionar, nuevamente, las bases de datos o los servidores, y luego podrá extraer el informe de los permisos de SQL Server. Tan capaz de ver quién tiene qué acceso a qué. Otra buena característica es que podrás comparar la configuración de seguridad. Supongamos que tenía una configuración estándar que debía establecerse en su empresa. Podrá hacer una comparación de todos sus servidores y ver qué configuraciones se establecieron en los otros servidores de su empresa.
Nuevamente, las plantillas de políticas, estas son algunas de las plantillas que tenemos. Básicamente, de nuevo, usa uno de esos, crea el tuyo propio. Puede crear su propia política, como se ve aquí. Use una de las plantillas y puede modificarlas según sea necesario. También podemos ver los derechos efectivos de SQL Server. Esto verificará y demostrará que los permisos están configurados correctamente para los usuarios y roles. Una vez más, puede salir y mirar y ver y verificar que los permisos estén configurados correctamente para los usuarios y los roles. Luego, con los Derechos de acceso a objetos de SQL Server, puede examinar y analizar el árbol de objetos de SQL Server desde el nivel de servidor hasta los roles y puntos finales de nivel de objeto. Y puede ver instantáneamente los permisos heredados asignados y efectivos y las propiedades relacionadas con la seguridad a nivel de objeto. Esto le brinda una buena vista de los accesos que tiene en los objetos de su base de datos y quién tiene acceso a ellos.
Tenemos, nuevamente, nuestros informes que tenemos. Son informes enlatados, tenemos varios que puede seleccionar para hacer sus informes. Y muchos de estos se pueden personalizar o puede tener sus informes de clientes y usarlos junto con los servicios de informes y poder crear sus propios informes personalizados desde allí. Ahora las comparaciones de instantáneas, creo que esta es una característica bastante buena, donde puedes salir y puedes hacer una comparación de las instantáneas que has tomado y ver si hay alguna diferencia en el número. ¿Se agregaron objetos, hubo permisos que cambiaron, cualquier cosa que pudiéramos ver qué cambios se realizaron entre las diferentes instantáneas? Algunas personas los verán a nivel mensual: harán una instantánea mensual y luego harán una comparación cada mes para ver si algo ha cambiado. Y si se suponía que no se había cambiado nada, cualquier cosa que se haya enviado a las reuniones de control de cambios, y ve que se han cambiado algunos permisos, puede volver a ver qué ha ocurrido. Esta es una característica bastante agradable aquí donde puede hacer la comparación, nuevamente, de todo lo que se audita en la instantánea.
Entonces su comparación de evaluación. Esta es otra buena característica que tenemos donde puedes salir y mirar las evaluaciones y luego hacer una comparación de ellas y notar que la comparación aquí tenía una cuenta de SA que no estaba deshabilitada en esta instantánea reciente que hice. ahora está corregido. Esto es algo bastante bueno en el que puedes demostrar que, bueno, teníamos algunos riesgos, fueron identificados por la herramienta y ahora hemos mitigado esos riesgos. Y, nuevamente, este es un buen informe para mostrar a los auditores que, de hecho, esos riesgos han sido mitigados y atendidos.
En resumen, la seguridad de la base de datos es crítica, y creo que muchas veces estamos viendo brechas que provienen de fuentes externas y, a veces, realmente no prestamos demasiada atención a las brechas internas y esas son algunas de las cosas que Hay que tener cuidado. Y Secure lo ayudará allí para asegurarse de que no haya privilegios que no sea necesario asignar, ya sabe, asegúrese de que toda esta seguridad esté configurada correctamente en las cuentas. Asegúrese de que sus cuentas SA tengan contraseñas. También comprueba en cuanto a, ¿se han exportado sus claves de cifrado? Solo hay varias cosas diferentes que verificamos y le avisaremos si hubo un problema y en qué nivel se encuentra. Necesitamos una herramienta, muchos profesionales necesitan herramientas para administrar y monitorear los permisos de acceso a la base de datos, y en realidad buscamos proporcionar una amplia capacidad para controlar los permisos de la base de datos y rastrear las actividades de acceso y mitigar el riesgo de incumplimiento.
Ahora, otra parte de nuestros productos de seguridad es que hay un WebEx cubierto y parte de la presentación de la que hablamos anteriormente era información. Usted sabe quién está accediendo a qué, qué tiene, y esa es nuestra herramienta SQL Compliance Manager. Y hay un WebEx grabado en esa herramienta y que en realidad le permitirá controlar quién está accediendo a qué tablas, qué columnas, puede identificar tablas que tienen columnas sensibles, en cuanto a fecha de nacimiento, información del paciente, ese tipo de tablas y Ver quién tiene acceso a esa información y si se está accediendo a ella.
Eric Kavanagh: Muy bien, así que vamos a sumergirnos en las preguntas, supongo, aquí. Tal vez, Dez, te lo arrojo primero, y Robin, interviene como puedas.
Dez Blanchfield: Sí, he estado ansioso por hacer una pregunta de la segunda y tercera diapositiva. ¿Cuál es el caso de uso típico que está viendo para esta herramienta? ¿Quiénes son los tipos más comunes de usuarios que estás viendo que están adoptando esto y poniéndolo en juego? Y detrás de eso, el típico, tipo de modelo de caso de uso, ¿cómo van a hacer eso? ¿Cómo se está implementando?
Ignacio Rodríguez: De acuerdo, el caso de uso típico que tenemos son los DBA a los que se les ha asignado la responsabilidad del control de acceso para la base de datos, que se asegura de que todos los permisos se establezcan de la forma en que deben ser y luego realizan un seguimiento y sus estándares en su lugar. Usted sabe, estas ciertas cuentas de usuario solo pueden tener acceso a estas tablas en particular, etc. Y lo que están haciendo con él es asegurarse de que esos estándares se hayan establecido y que esos estándares no hayan cambiado con el tiempo. Y esa es una de las grandes cosas para las que la gente lo usa es para rastrear e identificar si se están haciendo cambios que no se conocen.
Dez Blanchfield: Porque son los que dan miedo, ¿no? Es posible que tenga un, digamos, un documento de estrategia, tiene políticas que lo respaldan, tiene cumplimiento y gobernanza debajo de eso, y sigue las políticas, se adhiere a la gobernanza y obtiene luz verde y de repente, un mes después, alguien implementa un cambio y, por alguna razón, no pasa por el mismo tablero de revisión de cambios o proceso de cambio, o lo que sea, o el proyecto acaba de avanzar y nadie lo sabe.
¿Tienes algún ejemplo que puedas compartir? Y sé, obviamente, que no siempre es algo que compartes porque los clientes están un poco preocupados por eso, por lo que no necesariamente tenemos que nombrar nombres, pero danos un ejemplo de dónde podría haber visto esto en realidad, ya sabes, una organización ha puesto esto en práctica sin darse cuenta y simplemente encontraron algo y se dieron cuenta: "Guau, valió la pena diez veces, acabamos de encontrar algo de lo que no nos dimos cuenta". ¿Algún ejemplo en el que la gente haya implementado esto y luego descubrieran que tenían un problema mayor o un problema real que no sabían que tenían y luego lo agregan inmediatamente a la lista de tarjetas de Navidad?
Ignacio Rodríguez: Bueno, creo que lo más importante que hemos visto o reportado es lo que acabo de mencionar, en cuanto al acceso que alguien había tenido. Hay desarrolladores y cuando implementaron la herramienta realmente no se dieron cuenta de que X cantidad de estos desarrolladores tenía tanto acceso a la base de datos y tenía acceso a objetos particulares. Y otra cosa son las cuentas de solo lectura. Hubo algunas cuentas de solo lectura que tenían, vengan a descubrir que estas cuentas de solo lectura en realidad tenían privilegios de inserción y eliminación. Ahí es donde hemos visto algún beneficio para los usuarios. Lo importante, una vez más, es que hemos escuchado que a la gente le gusta, poder, nuevamente, rastrear los cambios y asegurarse de que nada los ignore.
Dez Blanchfield: Bueno, como Robin destacó, tienes escenarios en los que la gente no suele pensar, ¿verdad? Cuando miramos hacia adelante, pensamos, ya sabes, si hacemos todo de acuerdo con las reglas, y lo encuentro, y estoy seguro de que también lo ves, dime si no estás de acuerdo con esto, las organizaciones se enfocan en gran medida en el desarrollo de estrategias y políticas y cumplimiento y gobernanza y KPI e informes, que a menudo se obsesionan tanto con eso que no piensan en los valores atípicos. Y Robin tuvo un gran ejemplo que le voy a robar, lo siento Robin, pero el ejemplo es la otra vez donde una copia en vivo de la base de datos, una instantánea y ponerla en prueba de desarrollo, ¿verdad? Hacemos desarrollo, hacemos pruebas, hacemos UAT, hacemos integración de sistemas, todo ese tipo de cosas y luego hacemos un montón de pruebas de cumplimiento ahora. A menudo, la prueba de desarrollo, UAT, SIT tiene un componente de cumplimiento en el que nos aseguramos de que todo sea saludable y seguro, pero no todos lo hacen. Este ejemplo que Robin dio con una copia de una copia en vivo de la base de datos se puso a prueba con un entorno de desarrollo para ver si todavía funciona con los datos en vivo. Muy pocas compañías se sientan y piensan: "¿Eso sucede o es posible?" Siempre están obsesionadas con el tema de la producción. ¿Cómo se ve el viaje de implementación? ¿Estamos hablando de días, semanas, meses? ¿Cómo se ve una implementación regular para una organización de tamaño medio?
Ignacio Rodríguez: Días. Ni siquiera son días, quiero decir, son solo un par de días. Acabamos de agregar una función en la que podemos registrar muchos, muchos servidores. En lugar de tener que ingresar allí en la herramienta y decir que tenía 150 servidores, tenía que ingresar allí individualmente y registrar los servidores; ahora no tiene que hacerlo. Hay un archivo CSV que crea y lo eliminamos automáticamente y no lo guardamos allí por motivos de seguridad. Pero eso es otra cosa que debemos considerar, es que tendrá un archivo CSV con nombre de usuario / contraseña.
Lo que hacemos es que lo eliminamos automáticamente, pero esa es una opción que tiene. Si desea ingresar allí individualmente y registrarlos y no quiere correr ese riesgo, puede hacerlo. Pero si desea usar un archivo CSV, colóquelo en una ubicación segura, apunte la aplicación a esa ubicación, ejecutará ese archivo CSV y luego se configurará automáticamente para eliminar ese archivo una vez que esté listo. E irá y se asegurará de que el archivo se haya eliminado. El poste más largo en la arena que tuvimos en cuanto a la implementación fue el registro de los servidores reales.
Dez Blanchfield: De acuerdo. Ahora hablaste de informes. ¿Puede darnos un poco más de detalle y una idea de lo que viene pre-incluido en cuanto a informar solo, supongo, el componente de descubrimiento de mirar lo que hay allí e informar sobre él, el estado actual de la nación, lo que viene antes construido y precocido en cuanto a informes sobre el estado actual de cumplimiento y seguridad, y luego ¿con qué facilidad son extensibles? ¿Cómo construimos sobre esos?
Ignacio Rodríguez: De acuerdo. Algunos de los informes que tenemos, tenemos informes que tratan con servidores cruzados, verificaciones de inicio de sesión, filtros de recopilación de datos, historial de actividades y luego los informes de evaluación de riesgos. Y también cualquier cuenta sospechosa de Windows. Hay muchos, muchos aquí. Vea inicios de sesión SQL sospechosos, inicios de sesión del servidor y mapeo de usuarios, permisos de usuario, todos los permisos de usuario, roles de servidor, roles de base de datos, cierta cantidad de vulnerabilidad que tenemos o informes de autenticación de modo mixto, bases de datos habilitadas para invitados, vulnerabilidad del sistema operativo a través de XPS, los procedimientos extendidos, y luego los roles fijos vulnerables. Esos son algunos de los informes que tenemos.
Dez Blanchfield: Y mencionaste que son lo suficientemente importantes y varios de ellos, lo cual es lógico. ¿Qué tan fácil es para mí adaptarlo? Si ejecuto un informe y obtengo este gran gráfico, pero quiero sacar algunas piezas que realmente no me interesan y agregar algunas otras características, ¿hay un redactor de informes? ¿Hay algún tipo de interfaz? y una herramienta para configurar y personalizar o incluso potencialmente crear otro informe desde cero?
Ignacio Rodríguez: Luego, indicaríamos a los usuarios que utilicen los Servicios de informes SQL de Microsoft para hacer eso y tenemos muchos clientes que realmente tomarán algunos de los informes, los personalizarán y los programarán cuando lo deseen. Algunos de estos tipos quieren ver estos informes mensualmente o semanalmente y tomarán la información que tenemos, la trasladarán a Reporting Services y luego lo harán desde allí. No tenemos un redactor de informes integrado con nuestra herramienta, pero sí aprovechamos los Servicios de informes.
Dez Blanchfield: Creo que ese es uno de los mayores desafíos con estas herramientas. Puede ingresar allí y encontrar cosas, pero luego debe poder sacarlo, informarlo a personas que no son necesariamente DBA e ingenieros de sistemas. Hay un papel interesante que ha surgido en mi experiencia y es que, ya sabes, los agentes de riesgo siempre han estado en organizaciones y que han estado predominantemente presentes y una gama de riesgos completamente diferente que hemos visto recientemente, mientras que ahora con datos Las infracciones se convirtieron no solo en una cosa sino en un tsunami real, el CRO ha pasado de ser, ya sabes, RRHH y el cumplimiento y el enfoque de tipo de salud y seguridad ocupacional ahora al riesgo cibernético. Ya sabes, violación, piratería, seguridad, mucho más técnico. Y se está volviendo interesante porque hay muchas CRO que provienen de un pedigrí de MBA y no de un pedigrí técnico, por lo que tienen que entender, más o menos, lo que esto significa para la transición entre el riesgo cibernético a un CRO, y así sucesivamente. Pero lo importante que quieren es solo informes de visibilidad.
¿Puede contarnos algo sobre el posicionamiento con respecto al cumplimiento? Obviamente, una de las grandes fortalezas de esto es que puedes ver lo que está sucediendo, puedes monitorearlo, puedes aprender, puedes informar al respecto, puedes reaccionar, incluso puedes evitar algunas cosas. El desafío general es el cumplimiento de la gobernanza. ¿Hay partes clave de esto que se vinculan deliberadamente con los requisitos de cumplimiento existentes o con el cumplimiento de la industria como PCI, o algo así en la actualidad, o es algo que viene en la hoja de ruta? ¿Se ajusta, en cierto modo, al marco de los gustos de los estándares COBIT, ITIL e ISO? Si implementamos esta herramienta, ¿nos da una serie de controles y equilibrios que se ajustan a esos marcos, o cómo la incorporamos a esos marcos? ¿Dónde está la posición con ese tipo de cosas en mente?
Ignacio Rodríguez: Sí, hay plantillas que tenemos que entregamos con la herramienta. Y estamos llegando al punto nuevamente en el que estamos reevaluando nuestras plantillas y vamos a agregar y pronto habrá más. FISMA, FINRA, algunas plantillas adicionales que tenemos, y generalmente revisamos las plantillas y miramos para ver qué ha cambiado, ¿qué necesitamos agregar? Y en realidad queremos llegar al punto donde, ya sabes, los requisitos de seguridad han cambiado bastante, por lo que estamos buscando una manera de hacer que esto sea expansible sobre la marcha. Eso es algo que estamos viendo en el futuro.
Pero en este momento estamos buscando crear plantillas y poder obtener las plantillas de un sitio web; Puedes descargarlos. Y así es como manejamos eso: los manejamos a través de plantillas, y estamos buscando formas en el futuro para hacer que sea fácilmente expansible y rápido. Porque cuando solía auditar, las cosas cambian. Un auditor vendría un mes y al mes siguiente quieren ver algo diferente. Entonces ese es uno de los desafíos con las herramientas, es poder hacer esos cambios y obtener lo que necesita, y eso es, de alguna manera, a donde queremos llegar.
Dez Blanchfield: Supongo que el desafío de un auditor cambia regularmente a la luz del hecho de que el mundo se mueve más rápido. Y una vez, el requisito desde el punto de vista de la auditoría, en mi experiencia, sería simplemente el cumplimiento comercial, y luego se convirtió en cumplimiento técnico y ahora es cumplimiento operativo. Y hay todos estos otros, ya sabes, todos los días alguien aparece y no solo te están midiendo en algo como la operación ISO 9006 y 9002, sino que están viendo todo tipo de cosas. Y ahora veo que las 38, 000 series se están convirtiendo en algo importante también en ISO. Me imagino que eso será cada vez más difícil. Estoy a punto de entregarlo a Robin porque he estado acaparando el ancho de banda.
Muchas gracias por ver eso, y definitivamente voy a pasar más tiempo para conocerlo porque en realidad no me di cuenta de que en realidad era tan profundo. Entonces, gracias, Ignacio, voy a entregarle a Robin ahora. Una gran presentación, gracias. Robin, frente a ti.
Dr. Robin Bloor: De acuerdo, Iggy, te llamaré Iggy, si eso está bien. Lo que me desconcierta, y creo que a la luz de algunas de las cosas que dijo Dez en su presentación, están sucediendo muchas cosas por ahí que hay que decir que la gente realmente no está cuidando los datos. Ya sabes, especialmente cuando se trata del hecho de que solo ves una parte del iceberg y probablemente hay muchas cosas que nadie informa. Me interesa su perspectiva en cuanto a cuántos de los clientes que conoce, o clientes potenciales que conoce, tienen el nivel de protección que está ofreciendo, no solo con esto, pero también su tecnología de acceso a datos? Quiero decir, ¿quién está equipado adecuadamente para hacer frente a la amenaza, es la pregunta?
Ignacio Rodríguez: ¿Quién está equipado adecuadamente? Quiero decir, muchos clientes que realmente no hemos abordado ningún tipo de auditoría, ya sabes. Han tenido algunos, pero lo importante es tratar de mantenerse al día y tratar de mantenerlo y asegurarse. El gran problema que hemos visto es, e incluso el que tuve cuando estaba cumpliendo, es que, si ejecutaba sus scripts, lo haría una vez cada tres meses cuando los auditores entraran y haya encontrado un problema. Bueno, adivina qué, eso ya es demasiado tarde, la auditoría está allí, los auditores están allí, quieren su informe, lo marcan. Y luego, o recibimos una marca o nos dijeron, oye, tenemos que solucionar estos problemas, y ahí es donde entraría esto. Sería más una cosa de tipo proactiva donde puedes encontrar tu riesgo y mitigar el riesgo y eso es lo que buscan nuestros clientes. Una forma de ser algo proactivo en lugar de ser reactivo cuando los auditores entran y encuentran que algunos de los accesos no están donde deben estar, otras personas tienen privilegios administrativos y no deberían tenerlos, ese tipo de cosas. Y ahí es donde hemos visto una gran cantidad de comentarios, que a la gente le gusta la herramienta y la está utilizando.
Dr. Robin Bloor: Bien, otra pregunta que tengo es, en cierto sentido, una pregunta obvia también, pero tengo curiosidad. ¿Cuántas personas vienen a ti después de un hack? Donde, ya sabes, estás obteniendo el negocio, no porque miraron su entorno y pensaron que necesitaban ser protegidos de una manera mucho más organizada, sino que en realidad estás allí simplemente porque ya han sufrido algunos de los dolor.
Ignacio Rodríguez: En mi tiempo aquí en IDERA no he visto ninguno. Para ser honesto con usted, la mayor parte de la interacción que he tenido con los clientes con los que he estado involucrado es más una mirada hacia adelante y tratando de comenzar a auditar y comenzó a buscar privilegios, etc. Como dije, yo mismo, no he experimentado en mi tiempo aquí, que haya tenido a alguien que haya venido después de la violación, que yo sepa.
Dr. Robin Bloor: Oh, eso es interesante. Pensé que habría habido al menos unos pocos. De hecho, estoy analizando esto, pero también agregué todas las complejidades que realmente hacen que los datos estén seguros en toda la empresa en todas las formas y en todas las actividades que realiza. ¿Ofrecen consultoría directamente para ayudar a las personas? Quiero decir, está claro que puedes comprar herramientas, pero en mi experiencia, a menudo la gente compra herramientas sofisticadas y las usa muy mal. ¿Ofrecen consultoría específica: qué hacer, a quién capacitar y cosas así?
Ignacio Rodríguez: Hay algunos servicios que podría, en cuanto a servicios de soporte, que permitirán que algo de eso ocurra. Pero en lo que respecta a la consultoría, no proporcionamos ningún servicio de consultoría sino capacitación, ya sabes, cómo usar las herramientas y cosas por el estilo, algo de eso se abordaría con el nivel de soporte. Pero per se no tenemos un departamento de servicios que salga y lo haga.
Dr. Robin Bloor: De acuerdo. En términos de la base de datos que cubre, la presentación aquí solo menciona Microsoft SQL Server: ¿también utiliza Oracle?
Ignacio Rodríguez: Primero nos expandiremos al reino de Oracle con Compliance Manager. Vamos a comenzar un proyecto con eso, así que buscaremos expandirlo a Oracle.
Dr. Robin Bloor: ¿ Y es probable que vaya a otro lado?
Ignacio Rodríguez: Sí, eso es algo que tenemos que mirar en las hojas de ruta y ver cómo están las cosas, pero esas son algunas de las cosas que estamos considerando, es lo que otras plataformas de bases de datos necesitamos atacar también.
Dr. Robin Bloor: También estaba interesado en la división, no tengo una idea preconcebida de esto, pero en términos de implementaciones, cuánto de esto se está implementando realmente en la nube, o es casi todo en las instalaciones ?
Ignacio Rodríguez: Todo en el local. Estamos buscando extender Secure también para cubrir Azure, sí.
Dr. Robin Bloor: Esa fue la pregunta de Azure, todavía no está allí, pero va allí, tiene mucho sentido.
Ignacio Rodríguez: Sí, iremos allí muy pronto.
Dr. Robin Bloor: Sí, bueno, mi comprensión de Microsoft es que hay mucha acción con Microsoft SQL Server en Azure. Se está convirtiendo, si lo desea, en una parte clave de lo que ofrecen. La otra pregunta que me interesa, no es técnica, es más bien una pregunta de cómo comprometerse, ¿quién es el comprador para esto? ¿Se le está acercando el departamento de TI o las OSC se están acercando a usted, o es una variedad diferente de personas? Cuando se considera algo como esto, ¿es parte de mirar una serie de cosas para proteger el medio ambiente? ¿Cuál es la situación allí?
Ignacio Rodríguez: Es una mezcla. Tenemos CSO, muchas veces el equipo de ventas se comunicará y hablará con los DBA. Y luego, los DBA, nuevamente, se han encargado de implementar algún tipo de políticas de proceso de auditoría. Y luego, a partir de ahí, evaluarán las herramientas e informarán sobre la cadena y tomarán una decisión sobre qué parte quieren comprar. Pero es una mezcla de quién nos contactará.
Dr. Robin Bloor: De acuerdo. Creo que le devolveré a Eric ahora porque, como que, hemos terminado la hora, pero puede haber algunas preguntas de la audiencia. Eric?
Eric Kavanagh: Sí, claro, hemos quemado mucho contenido bueno aquí. Aquí hay una muy buena pregunta que le haré de uno de los asistentes. Él está hablando de blockchain y de lo que estás hablando, y pregunta, ¿hay alguna forma posible de migrar una parte de solo lectura de una base de datos SQL a algo similar a lo que ofrece blockchain? Es un poco difícil.
Ignacio Rodríguez: Sí, seré sincero contigo, no tengo una respuesta para eso.
Eric Kavanagh: Se lo arrojaré a Robin. No sé si escuchaste esa pregunta, Robin, pero solo pregunta, ¿hay alguna forma de migrar la parte de solo lectura de una base de datos SQL a algo similar a lo que ofrece blockchain? ¿Qué piensas sobre eso?
Dr. Robin Bloor: Es como si, si va a migrar la base de datos, también va a migrar el tráfico de la base de datos. Hay todo un conjunto de complejidad involucrado en hacer eso. Pero no lo haría por ningún otro motivo que no sea hacer que los datos sean inviolables. Debido a que una cadena de bloques será más lenta de acceder, entonces, ya sabes, si lo tuyo es la velocidad, y casi siempre es lo tuyo, entonces no lo estarías haciendo. Pero si quisieras proporcionar acceso cifrado con clave a parte de él a algunas personas que hacen ese tipo de cosas, podrías hacerlo, pero tendrías que tener una muy buena razón. Es mucho más probable que lo deje donde está y lo asegure donde está.
Dez Blanchfield: Sí, estoy de acuerdo en eso, si puedo pesar rápidamente. Creo que el desafío de blockchain, incluso la cadena de bloques que está públicamente disponible, se usa en bitcoin: nos resulta difícil escalar más allá de, más o menos, cuatro transacciones por minuto de una manera completamente distribuida. No tanto por el desafío informático, aunque está allí, a los nodos completos les resulta difícil mantenerse al día con los volúmenes de la base de datos que se mueven hacia adelante y hacia atrás y la cantidad de datos que se copian porque ahora son conciertos, no solo megas.
Pero también, creo que el desafío clave es que necesitas cambiar la arquitectura de la aplicación porque en una base de datos se trata principalmente de llevar todo a una ubicación central y tienes ese modelo de tipo cliente-servidor. Blockchain es lo inverso; Se trata de copias distribuidas. Se parece más a BitTorrent en muchos sentidos, y es que hay muchas copias de los mismos datos. Y, usted sabe, como Cassandra y las bases de datos en memoria donde lo distribuye y muchos servidores pueden darle copias de los mismos datos de un índice distribuido. Creo que las dos partes clave, como dijiste, Robin, son: una, si quieres asegurarlo y asegurarte de que no pueda ser robado o pirateado, eso es genial, pero todavía no es necesariamente una plataforma transaccional, y nosotros Lo he experimentado con el proyecto Bitcoin. Pero en teoría otros lo han resuelto. Pero también, arquitectónicamente, muchas de las aplicaciones que existen no saben cómo consultar y leer desde una cadena de bloques.
Hay mucho trabajo por hacer allí. Pero creo que el punto clave con la pregunta allí, solo si puedo, es la razón de moverlo a una cadena de bloques, creo que la pregunta que se hace es, ¿puedes sacar datos de una base de datos y ponerlos en alguna forma que sea ¿más seguro? Y la respuesta es, puede dejarlo en la base de datos y simplemente cifrarlo. Hay muchas tecnologías ahora. Simplemente encripte los datos en reposo o en movimiento. No hay ninguna razón por la que no pueda tener datos cifrados en la memoria y en la base de datos en el disco, lo cual es un desafío mucho más simple porque no tiene un solo cambio arquitectónico. Invariablemente, la mayoría de las plataformas de bases de datos, en realidad es solo una característica que se habilita.
Eric Kavanagh: Sí, tenemos una última pregunta que te haré, Iggy. Es una muy buena. Desde una perspectiva de SLA y planificación de capacidad, ¿qué tipo de impuesto existe al usar su sistema? En otras palabras, ¿hay alguna latencia adicional o sobrecarga de rendimiento si, en un sistema de base de datos de producción, alguien quiere involucrar la tecnología de IDERA aquí?
Ignacio Rodríguez: Realmente no vemos mucho impacto. Nuevamente, es un producto sin agente y todo depende, como mencioné antes, de las instantáneas. Seguro se basa en instantáneas. Saldrá y creará un trabajo que saldrá según los intervalos que haya seleccionado. O quieres hacerlo, nuevamente, semanalmente, diariamente, mensualmente. Saldrá y ejecutará ese trabajo y luego recopilará los datos de las instancias. En ese punto, la carga vuelve a los servicios de administración y recolección, una vez que comienza a hacer las comparaciones y todo eso, la carga en la base de datos no juega un papel importante en eso. Toda esa carga ahora está en el servidor de administración y recopilación, en lo que respecta a las comparaciones y todos los informes y todo eso. La única vez que accede a la base de datos es siempre cuando está haciendo la instantánea real. Y no hemos tenido realmente ningún informe de que realmente sea perjudicial para los entornos de producción.
Eric Kavanagh: Sí, ese es un muy buen punto que haces allí. Básicamente, puede establecer cuántas instantáneas toma, cuál es ese intervalo de tiempo y dependiendo de lo que pueda suceder, pero esa es una arquitectura muy inteligente. Eso es bueno, hombre. Bueno, ustedes están en primera línea tratando de protegernos de todos esos hackers de los que hablamos en los primeros 25 minutos del programa. Y están ahí afuera, amigos, no se equivoquen.
Bueno, escuche, publicaremos un enlace a esta transmisión web, los archivos, en nuestro sitio insideanalysis.com. Puedes encontrar cosas en SlideShare, puedes encontrarlas en YouTube. Y amigos, cosas buenas. Gracias por tu tiempo, Iggy, por cierto, me encanta tu apodo. Con eso nos despediremos, amigos. Muchas gracias por su tiempo y atención. Nos pondremos en contacto con usted la próxima vez. Adiós.
