بواسطة Techopedia Staff ، 10 مايو 2017
الوجبات الجاهزة: يناقش المضيف إريك كافاناغ الأمن والأذونات مع الدكتور روبن بلور وفيكي هارب من IDERA.
أنت لم تسجل الدخول حاليًا. يرجى تسجيل الدخول أو التسجيل لمشاهدة الفيديو.
إريك كافانا: حسنًا ، سيداتي وسادتي ، مرحبًا بكم مرة أخرى. إنه يوم أربعاء ، إنه أربعة شرقياً وفي عالم تكنولوجيا المؤسسات ، وهذا يعني أن الوقت قد حان مرة أخرى لشركة Hot Technologies! نعم فعلا قدمته مجموعة بلور بالطبع ، بدعم من أصدقائنا في Techopedia. موضوع اليوم رائع حقًا: "من الأفضل أن تطلب الإذن: أفضل الممارسات للخصوصية والأمن". هذا صحيح ، إنه موضوع صعب ، ويتحدث الكثير من الناس عنه ، لكنه موضوع خطير للغاية ، و انها حقا تزداد خطورة كل يوم ، بصراحة تامة. إنها مشكلة خطيرة بعدة طرق للعديد من المنظمات. سنتحدث عن ذلك وسنتحدث عن ما يمكنك فعله لحماية مؤسستك من الشخصيات الشائنة التي تبدو في كل مكان في هذه الأيام.
لذلك مقدم اليوم هو فيكي هارب استدعاء من IDERA. يمكنك رؤية برنامج IDERA على LinkedIn - أحب الوظيفة الجديدة على LinkedIn. على الرغم من أنني أستطيع أن أقول أنهم يقومون بسحب بعض السلاسل بطرق معينة ، لا يسمحون لك بالوصول إلى الأشخاص ، في محاولة لجعلك تشتري هذه العضويات المميزة. هناك تذهب ، لدينا روبن بلور الخاص بنا ، حيث يقوم بالاتصال - إنه في منطقة سان دييغو اليوم. ولكم حقًا كمشرف / محلل.
اذا مالذي نتحدث عنه؟ خروقات البيانات. لقد أخذت هذه المعلومات للتو من IdentityForce.com ، إنها متوقفة بالفعل على السباقات. نحن في أيار (مايو) من هذا العام ، وهناك فقط طن من خروقات البيانات ، وهناك بعض الانتهاكات الضخمة حقًا ، بالطبع ، بواسطة Yahoo! كانت واحدة كبيرة ، وسمعنا بالطبع عن اختراق حكومة الولايات المتحدة. لقد اخترقنا الانتخابات الفرنسية.
هذا يحدث في كل مكان ، إنه مستمر ولن يتوقف ، لذلك هو حقيقة ، إنه واقع جديد ، كما يقولون. نحتاج حقًا إلى التفكير في طرق لفرض أمان أنظمتنا وبياناتنا. إنها عملية مستمرة ، لذا فقد حان الوقت للتفكير في جميع القضايا المختلفة التي تلعب دورها. هذه مجرد قائمة جزئية ، ولكن هذا يمنحك بعض المنظور حول مدى خطورة الموقف في هذه الأيام مع أنظمة المؤسسة. وقبل هذا العرض ، كنا نتحدث في برنامجنا قبل العرض عن برنامج الفدية الذي أصاب شخصًا أعلمه ، وهي تجربة غير سارة للغاية ، عندما يتولى شخص ما جهاز iPhone الخاص بك ويطلب منك المال من أجل العودة إلى هاتفك. لكن هذا يحدث ، يحدث لأجهزة الكمبيوتر ، يحدث للأنظمة ، لقد رأيت ذلك اليوم فقط ، إنه يحدث لمليارات أصحاب اليخوت الخاصة بهم. تخيل الذهاب إلى يختك في يوم من الأيام ، ومحاولة إقناع جميع أصدقائك ولا يمكنك تشغيله ، لأن بعض اللص قد سرق الوصول إلى عناصر التحكم ، لوحة التحكم. قلت للتو في اليوم الآخر في مقابلة مع شخص ما ، ودائما يكون تجاوز اليدوي. مثل ، لست معجبًا كبيرًا بجميع السيارات المتصلة - حتى السيارات يمكن اختراقها. أي شيء متصل بالإنترنت ، أو متصلاً بشبكة يمكن اختراقها ، يمكن اختراقه ، أي شيء.
لذلك ، إليك بعض العناصر التي يجب مراعاتها من حيث تأطير سياق مدى خطورة الموقف. الأنظمة المستندة إلى الويب موجودة في كل مكان هذه الأيام ، فإنها تستمر في الانتشار. كم من الناس يشترون الأشياء عبر الإنترنت؟ إنه فقط خلال هذه الأيام ، ولهذا السبب تعد Amazon بمثابة قوة قوية هذه الأيام. ذلك لأن الكثير من الناس يشترون الأشياء عبر الإنترنت.
لذلك ، أنت تتذكر ذلك الوقت ، قبل 15 عامًا ، كان الناس متوترين جدًا من وضع بطاقة الائتمان الخاصة بهم في نموذج ويب للحصول على معلوماتهم ، وفي ذلك الوقت ، كانت الحجة ، "حسنًا ، إذا سلمت بطاقتك الائتمانية إلى نادل في مطعم ، ثم هذا هو نفس الشيء. "إذن ، جوابنا هو نعم ، هو نفس الشيء ، هناك كل نقاط التحكم هذه ، أو نقاط الوصول ، نفس الشيء ، جانب مختلف لعملة واحدة ، حيث يمكن وضع الأشخاص في خطر ، حيث يمكن لأي شخص أن يأخذ أموالك ، أو شخص ما يمكن أن يسرق منك.
ثم يقوم إنترنت الأشياء بالطبع بتوسيع التهديدات - أنا أحب هذه الكلمة - بأوامر ضخمة. أقصد ، فكر في الأمر - مع وجود كل هذه الأجهزة الجديدة في كل مكان ، إذا تمكن شخص ما من اختراق نظام يتحكم فيها ، فيمكنه تحويل كل هذه الروبوتات ضدك والتسبب في الكثير والكثير من المشاكل ، لذلك فهذه مشكلة خطيرة للغاية. لدينا اقتصاد عالمي هذه الأيام ، وهو ما يوسع نطاق التهديدات بشكل أكبر ، والأكثر من ذلك ، لديك أشخاص في بلدان أخرى يمكنهم الوصول إلى الويب بالطريقة نفسها التي أنت وأنا ، وإذا كنت لا تعرف كيفية التحدث باللغة الروسية أو أي عدد من اللغات الأخرى ، ستواجه صعوبة في فهم ما يحدث عند اختراق نظامك. لذلك لدينا تطورات في الشبكات والمحاكاة الافتراضية ، حسناً هذا جيد.
لكن لدي على الجانب الأيمن من هذه الصورة هنا ، سيف والسبب في ذلك هو وجود كل سيف يقطع في كلا الاتجاهين. إنه سيف ذو حدين ، كما يقولون ، وهو كليشيهات قديمة ، لكن هذا يعني أن السيف الذي أمتلكه يمكن أن يؤذيك أو يمكن أن يؤذيني. يمكن أن يعود بي ، إما عن طريق الارتداد ، أو عن طريق شخص يأخذها. إنها في الواقع إحدى خرافات إيسوب - غالبًا ما نعطي أعدائنا أدوات تدميرنا. إنها حقًا قصة جذابة للغاية وتتعلق بشخص استخدم القوس والسهم وأسقط طائرًا ورأى الطائر ، بينما كان السهم قادمًا ، كانت تلك الريشة من أحد أصدقائها من الطيور الموجودة على حافة السهم ، في الجزء الخلفي من السهم لإرشادها ، وفكر لنفسه ، "يا رجل ، ها هي الريش الخاص بي ، سوف تستخدم عائلتي لإنزالي." هذا يحدث طوال الوقت ، تسمع إحصائيات عن وجود بندقية في المنزل ، يمكن أن يأخذ اللص البندقية. حسنا ، هذا كله صحيح. لذا ، فإنني أطرح هذا الأمر على سبيل المقارنة فقط ، كل هذه التطورات المختلفة لها جوانب إيجابية وجوانب سلبية.
وتحدث عن ، حاويات لأولئك منكم الذين يتبعون حقًا أحدث تقنيات الحوسبة في المؤسسات ، والحاويات هي أحدث شيء ، وأحدث وسيلة لتوفير وظائف ، إنها حقًا زواج من المحاكاة الافتراضية في الهندسة الموجهة للخدمة ، على الأقل للخدمات الميكروية ، أشياء مثيرة للاهتمام للغاية. يمكنك بالتأكيد تشويش بروتوكولات الأمان وبروتوكولات التطبيق الخاصة بك وبياناتك وما إلى ذلك ، باستخدام الحاويات ، والتي تمنحك تقدمًا لفترة من الوقت ، ولكن عاجلاً أم آجلاً ، سيقوم الأشرار بتحديد ذلك ، ثم سيكون من الأصعب منعهم من الاستفادة من أنظمتك. لذلك ، هناك قوة عاملة عالمية تعمل على تعقيد الشبكة والأمن ، ومن أين يسجل المستخدمون الدخول.
لدينا حروب المتصفح التي تستمر بسرعة ، وتتطلب عملاً ثابتًا للتحديث والبقاء على رأس الأمور. نستمع إلى متصفحات Microsoft Explorer القديمة ، وكيفية اختراقها ومتاحتها هناك. لذلك ، هناك المزيد من الأموال التي يجب جنيها من عمليات الاختراق هذه الأيام ، وهناك صناعة بأكملها ، وهذا شيء علّمني شريكي ، الدكتور بلور ، قبل ثمانية أعوام - كنت أتساءل لماذا نرى الكثير من ذلك ، وذكرنا لي ، إنها صناعة كاملة تشارك في القرصنة. وبهذا المعنى ، فإن السرد ، الذي يعد واحدًا من أقل كلماتي المفضلة عن الأمن ، هو أمر غير أمين حقًا ، لأن السرد يظهر لك في جميع مقاطع الفيديو هذه وأي تغطية إخبارية ، بعض الاختراقات التي يعرضها شخص ما يرتدي هوديًا ويجلس في الطابق السفلي له في غرفة مضاءة الظلام ، هذا ليس على الإطلاق. هذا ليس ممثلا على الإطلاق للواقع. إنه قراصنة وحيدون ، يوجد عدد قليل جدًا من المتسللين الوحيدين ، هم هناك ، ويسببون بعض المشاكل - لن يتسببوا في مشكلة كبيرة ، لكن يمكنهم جمع أموال كثيرة. إذاً ما يحدث هو أن المتسللين يدخلون ، ويخترقون نظامك ثم يبيعون ذلك الوصول إلى شخص آخر ، يستدير ويبيعه لشخص آخر ، ثم في مكان ما أسفل الخط ، يستغل شخص ما هذا الاختراق ويستفيد منك. وهناك طرق لا حصر لها للاستفادة من البيانات المسروقة.
لقد كنت حتى أعجب بنفسي حول كيف كنا نستمتع بهذا المفهوم. ترى هذا المصطلح في كل مكان ، "اختراق القرصنة" كما لو أنه أمر جيد. اختراق القرصنة ، كما تعلم ، يمكن أن يكون القرصنة أمرًا جيدًا ، إذا كنت تحاول العمل من أجل الأشخاص الصالحين للتحدث والاختراق في نظام ، مثلما نسمع عن كوريا الشمالية وإطلاقها الصاروخي ، من المحتمل أن يتم اختراقه - ذلك جيد. لكن القرصنة في كثير من الأحيان أمر سيء. نحن الآن نلمعها ، مثل روبن هود تقريبًا ، عندما قمنا برائحة روبن هود. ثم هناك مجتمع غير نقدي ، الأمر الذي يتعلق بصراحة بأنوار النهار. كل ما أعتقد أنه في كل مرة أسمع فيها ، "لا ، من فضلك لا تفعل ذلك! من فضلك لا! "لا أريد أن تختفي كل أموالنا. لذلك ، هذه بعض المشكلات التي يجب مراعاتها ، ومرة أخرى ، لعبة القط والفأر. لن تتوقف أبدًا ، ستكون هناك دائمًا حاجة إلى بروتوكولات الأمان ولتطوير بروتوكولات الأمان. ولمراقبة أنظمتك حتى لمعرفة واستشعار من هناك ، مع الفهم أنه يمكن أن يكون وظيفة داخلية. لذلك ، إنها مشكلة مستمرة ، وستظل مشكلة مستمرة لبعض الوقت - لا تخطئ في ذلك.
ومع ذلك ، سأسلمها إلى الدكتور بلور ، الذي يمكنه أن يشاطرنا بعض الأفكار حول تأمين قواعد البيانات. روبن ، خذها بعيدا.
روبن بلور: حسنًا ، أحد المتسللين المثيرين للاهتمام ، أعتقد أن هذا قد حدث قبل حوالي خمس سنوات ، لكنها كانت في الأساس شركة لمعالجة البطاقات تم اختراقها. وسرق عدد كبير من تفاصيل البطاقة. ولكن الشيء المثير للاهتمام حول هذا الموضوع ، بالنسبة لي ، هو حقيقة أن قاعدة البيانات الخاصة بالاختبار هي التي دخلوا إليها بالفعل ، وربما كان الأمر كذلك أنهم واجهوا صعوبة كبيرة في الوصول إلى قاعدة البيانات الحقيقية والحقيقية لمعالجة البطاقات. لكنك تعرف كيف هو الحال مع المطورين ، فهم يأخذون فقط جزءًا من قاعدة البيانات ، ويقومون بإدخالها هناك. كان يجب أن يكون هناك قدر أكبر من اليقظة لوقف ذلك. ولكن هناك الكثير من قصص القرصنة المثيرة للاهتمام ، فهي تصنع في منطقة واحدة ، وتنتج موضوعًا مثيرًا جدًا.
لذلك سأقوم في الواقع ، بطريقة أو بأخرى ، بتكرار بعض الأشياء التي قالها إريك ، لكن من السهل التفكير في أمان البيانات كهدف ثابت ؛ الأمر أسهل لمجرد أنه من السهل تحليل المواقف الثابتة ومن ثم التفكير في وضع الدفاعات فيها ، والدفاعات هناك ، ولكنها ليست كذلك. إنه هدف متحرك وهذا أحد الأشياء التي تحدد مجال الأمن بأكمله. إنها فقط في الطريقة التي تتطور بها كل التكنولوجيا ، كما تتطور تقنية الأشرار أيضًا. لذلك ، نظرة عامة موجزة: سرقة البيانات ليست جديدة ، في الواقع الفعلي ، تجسس البيانات هو سرقة البيانات وهذا ما يحدث منذ آلاف السنين ، على ما أعتقد.
أكبر سرقة البيانات في هذه الشروط كان البريطانيون كسر الرموز الألمانية والأميركيين كسر الرموز اليابانية ، وتقصير الحرب إلى حد كبير في كلتا الحالتين. لقد كانوا يسرقون البيانات المفيدة والقيمة ، لقد كان ذلك ذكيًا للغاية بالطبع ، لكنك تعلم أن ما يحدث الآن هو ذكي للغاية من نواح كثيرة. وُلدت سرقة الإنترنت عبر الإنترنت وانفجرت في حوالي عام 2005. ذهبت ونظرت إلى جميع الإحصائيات ، وعندما بدأت في أن تصبح جادة حقًا ، وبطريقة أو بأخرى ، أعداد كبيرة بشكل ملحوظ ابتداءً من عام 2005. أصبح الوضع أسوأ منذ ذلك الحين ثم. يشارك العديد من اللاعبين والحكومات والشركات المعنية ومجموعات القراصنة والأفراد.
ذهبت إلى موسكو - كان يجب أن يكون ذلك حوالي خمس سنوات - وقضيت الكثير من الوقت في الواقع مع شخص من المملكة المتحدة ، الذي يبحث في كامل مساحة القرصنة. وقال ذلك - وليس لدي أي فكرة عما إذا كان هذا صحيحًا ، لقد تلقيت كلمته الخاصة به فقط ، لكن يبدو أنه من المحتمل جدًا - أنه يوجد في روسيا ما يسمى بشبكة الأعمال ، وهي مجموعة من المتسللين جميعها ، كما تعلمون ، لقد خرجوا من أنقاض الكي جي بي. وهم يبيعون أنفسهم ، ليس فقط ، أعني ، أنا متأكد من أن الحكومة الروسية تستخدمهم ، لكنهم يبيعون أنفسهم لأي شخص ، وقد ترددت شائعات ، أو أن العديد من الحكومات الأجنبية كانت تستخدم شبكة الأعمال من أجل سياسة الإنكار. كان لدى هؤلاء الأشخاص شبكات تضم ملايين أجهزة الكمبيوتر التي قد يتعرضون لها للخطر من خلالها. وكان لديهم كل الأدوات التي يمكنك تخيلها.
لذلك ، تطورت تكنولوجيا الهجوم والدفاع. وعلى الشركات واجب العناية ببياناتها ، سواء كانت تمتلكها أم لا. وهذا بدأ يصبح أكثر وضوحًا فيما يتعلق بمختلف اللوائح التنظيمية المعمول بها بالفعل ، أو التي دخلت حيز التنفيذ. ومن المحتمل أن يتحسن ، شخص ما بطريقة أو بأخرى ، يجب أن يتحمل شخص ما تكلفة القرصنة بطريقة تحفزهم على إغلاق هذا الاحتمال. هذا أحد الأشياء التي أعتقد أنها ضرورية. حتى عن المتسللين ، يمكن أن تكون موجودة في أي مكان. لا سيما داخل مؤسستك - هناك عدد هائل من المتسللين المبدعين الذين سمعت عن إشراك شخص ما يفتح الباب. أنت تعرف ، هذا الشخص ، يشبه وضع السارق المصرفي ، وكان دائمًا ما يقال في عمليات السطو على البنوك الجيدة من الداخل. لكن المطلع الداخلي يحتاج فقط إلى إعطاء معلومات ، لذلك من الصعب الحصول عليها ومعرفة من كانت وما إلى ذلك.
وقد يكون من الصعب تقديمهم للعدالة ، لأنه إذا تعرضت للاختراق من قبل مجموعة من الأشخاص في مولدوفا ، حتى لو كنت تعلم أنها كانت هذه المجموعة ، كيف ستجعلون حدثًا قانونيًا يحدث حولهم؟ إنه نوع من ، من ولاية قضائية إلى أخرى ، إنه فقط ، لا توجد مجموعة جيدة جدًا من الترتيبات الدولية لتحديد المتسللين. يتشاركون في التكنولوجيا والمعلومات ؛ الكثير منه مفتوح المصدر. إذا كنت ترغب في إنشاء فيروس خاص بك ، فهناك الكثير من مجموعات الفيروسات الموجودة - المصدر المفتوح تمامًا. ولديهم موارد كبيرة ، وهناك عدد يحتوي على شبكات روبوت في أكثر من مليون جهاز مخترق في مراكز البيانات وأجهزة الكمبيوتر وما إلى ذلك. بعض الأعمال التجارية المربحة مستمرة منذ فترة طويلة ، ثم هناك مجموعات حكومية ، كما ذكرت. من غير المحتمل ، كما قال إريك ، من غير المرجح أن تنتهي هذه الظاهرة على الإطلاق.
لذلك ، هذا هو الاختراق مثيرة للاهتمام أنا فقط اعتقدت أن أذكر ذلك ، 'لأنه كان الاختراق في الآونة الأخيرة إلى حد ما. لقد حدث العام الماضي. كان هناك ثغرة أمنية في عقد DAO المرتبط بعملة تشفير Etherium. وتمت مناقشته في أحد المنتديات ، وخلال يوم واحد ، تم اختراق عقد DAO ، باستخدام مشكلة عدم الحصانة هذه بدقة. تم صرف مبلغ 50 مليون دولار من الأثير ، مما تسبب في أزمة فورية في مشروع DAO وإغلاقه. وقد ناضل Etherium في الواقع لمحاولة منع المتسلل من الوصول إلى الأموال ، وقد قاموا بتخفيض نوعيته. ولكن كان هناك اعتقاد أيضًا - غير معروف على وجه اليقين - أن القراصنة قام بالفعل بتخفيض سعر الأثير قبل هجومه ، مع العلم أن سعر الأثير سينهار ، وبالتالي حقق ربحًا بطريقة أخرى.
وهذا شيء آخر ، إذا أردت ، حيلة يمكن للمتسللين استخدامها. إذا كان بإمكانهم إتلاف سعر سهمك ، وكانوا يعلمون أنهم سيفعلون ذلك ، فمن الضروري أن يقوموا فقط باختصار سعر السهم والقيام بالاختراق ، لذلك من الجيد أن هؤلاء الرجال أذكياء ، كما تعلمون. والثمن هو السرقة الفادحة للأموال والفوضى والفدية ، بما في ذلك الاستثمارات ، حيث تقوم بتعطيل وتقصير الأسهم والتخريب وسرقة الهوية وجميع أنواع الخدع ، فقط من أجل الإعلان. وهو يميل إلى أن يكون تجسسًا سياسيًا أو واضحًا للمعلومات ، وهناك حتى أشخاص يكسبون عيشهم من خيرات الأخطاء التي يمكنك الحصول عليها من خلال محاولة اختراق Google و Apple و Facebook - وحتى البنتاغون - تمنح مكافآت الأخطاء بالفعل. وأنت فقط اختراق. إذا نجحت ، فأنت فقط تطالب بجائزتك ، ولا يحدث أي ضرر ، لذلك هذا شيء لطيف ، كما تعلم.
قد أذكر كذلك الامتثال والتنظيم. بصرف النظر عن مبادرات القطاع ، هناك الكثير من اللوائح الرسمية: HIPAA ، SOX ، FISMA ، FERPA و GLBA كلها قوانين أمريكية. هناك معايير أصبح PCI-DSS معيارًا عامًا إلى حد ما. ثم هناك ISO 17799 حول ملكية البيانات. تختلف اللوائح الوطنية من بلد إلى آخر ، حتى في أوروبا. وحالياً إجمالي الناتج المحلي - البيانات العالمية ، ماذا تعني؟ نظام حماية البيانات العالمي ، أعتقد أن هذا يمثل - لكن هذا سيدخل حيز التنفيذ في العام المقبل ، كما قال. والشيء المثير للاهتمام هو أنه ينطبق في جميع أنحاء العالم. إذا كان لديك 5000 عميل أو أكثر ، والذين لديك معلومات شخصية عنهم ويعيشون في أوروبا ، فإن أوروبا ستأخذك في الواقع إلى المهمة ، بغض النظر عن مقر شركتك بالفعل ، أو أين تعمل. والعقوبات ، الحد الأقصى للعقوبة هو أربعة في المائة من العائدات السنوية ، وهي ضريبة ضخمة ، بحيث ستكون تطورًا مثيرًا للاهتمام في العالم ، عندما يدخل هذا حيز التنفيذ.
الأشياء التي يجب التفكير فيها ، حسناً ، نقاط الضعف DBMS ، معظم البيانات القيمة موجودة بالفعل في قواعد البيانات. إنها قيمة لأننا خصصنا الكثير من الوقت لجعلها متاحة وتنظيمها بشكل جيد مما يجعلها أكثر عرضة للخطر ، إذا لم تقم بالفعل بتطبيق الأوراق المالية الصحيحة لنظام إدارة قواعد البيانات. من الواضح ، إذا كنت تخطط لأشياء من هذا القبيل ، فأنت بحاجة إلى تحديد البيانات الضعيفة في جميع أنحاء المنظمة ، مع الأخذ في الاعتبار أن البيانات يمكن أن تكون عرضة لأسباب مختلفة. يمكن أن تكون بيانات العميل ، لكن يمكن أن تكون مستندات داخلية بنفس القدر تكون ذات قيمة لأغراض التجسس وما إلى ذلك. أصبحت سياسة الأمان ، خاصة فيما يتعلق بالوصول إلى الأمان - والتي كانت في رأيي في الآونة الأخيرة ضعيفة للغاية ، في المواد المفتوحة المصدر الجديدة - التشفير أكثر استخدامًا لأنه صخري قوي إلى حد ما.
تكلفة الانتهاك الأمني ، معظم الناس لا يعرفون ، ولكن إذا نظرت فعليًا إلى ما حدث مع المنظمات التي عانت من خروقات أمنية ، اتضح أن تكلفة الخرق الأمني أعلى غالبًا مما تعتقد أنه سيكون . ثم الشيء الآخر الذي يجب التفكير فيه هو سطح الهجوم ، لأن أي جزء من البرامج في أي مكان ، يعمل مع مؤسساتك يقدم سطح هجوم. وكذلك تفعل أي من الأجهزة ، وكذلك البيانات ، بغض النظر عن كيفية تخزينها. كل شيء ، سطح الهجوم ينمو مع إنترنت الأشياء ، وربما يتضاعف سطح الهجوم.
لذلك ، وأخيرا ، ديسيبل وأمن البيانات. أمان البيانات عادة ما يكون جزءًا من دور DBA. لكنه تعاوني أيضًا. ويجب أن تخضع لسياسة الشركة ، وإلا فلن يتم تنفيذها بشكل جيد. بعد قولي هذا ، أعتقد أنني أستطيع تمرير الكرة.
إريك كافانا: حسنًا ، اسمحوا لي أن أعطي المفاتيح لفيكي. ويمكنك مشاركة شاشتك أو الانتقال إلى هذه الشرائح ، والامر متروك لك ، وخذها بعيدا.
فيكي هارب: لا ، سأبدأ بهذه الشرائح ، شكرا جزيلا لك. لذا ، نعم ، أردت فقط أن أتوقف لحظة سريعة وأن أقدم نفسي. أنا فيكي هارب. أنا مدير ، وإدارة المنتجات لمنتجات SQL في برنامج IDERA ، ولأولئك الذين قد لا يكونون على دراية بنا ، لدى IDERA عدد من خطوط الإنتاج ، لكنني أتحدث هنا عن جانب SQL Server من الأشياء. وهكذا ، نقوم بمراقبة الأداء ، والامتثال الأمني ، والنسخ الاحتياطي ، وأدوات الإدارة - وهي مجرد قائمة من هذه الأدوات. وبالطبع ، فإن ما أتحدث عنه اليوم هو الأمن والامتثال.
الجزء الأكبر من ما أريد التحدث عنه اليوم ليس بالضرورة منتجاتنا ، على الرغم من أنني أعتزم عرض بعض الأمثلة على ذلك لاحقًا. أردت أن أتحدث إليكم أكثر حول أمان قاعدة البيانات ، وبعض التهديدات في عالم أمن قاعدة البيانات في الوقت الحالي ، وبعض الأشياء التي يجب التفكير فيها ، وبعض الأفكار التمهيدية حول ما تحتاج إلى النظر إليه من أجل تأمين مزودك قواعد بيانات الخادم وأيضًا للتأكد من أنها متوافقة مع الإطار التنظيمي الذي قد تخضع له ، كما ذكر. هناك العديد من اللوائح المختلفة المعمول بها. إنهم يذهبون إلى صناعات مختلفة ، وأماكن مختلفة حول العالم ، وهذه أشياء يجب التفكير فيها.
لذا ، فأنا أريد أن أتوقف لحظة وأتحدث عن حالة خروقات البيانات - وليس لتكرار الكثير مما تمت مناقشته هنا بالفعل - كنت أبحث عن دراسة أبحاث الأمن Intel هذه مؤخرًا ، وعبر ذلك - أعتقد 1500 منظمة أو نحو ذلك تحدثت معهم - كان لديهم ستة انتهاكات أمنية في المتوسط ، فيما يتعلق بانتهاكات فقد البيانات ، و 68 في المائة من تلك المؤسسات كانت تتطلب الإفصاح بمعنى ما ، لذلك أثرت على سعر السهم ، أو اضطروا إلى القيام ببعض الائتمان مراقبة عملائها أو موظفيهم ، إلخ.
بعض الإحصاءات الأخرى المثيرة للاهتمام هي أن الجهات الفاعلة الداخلية التي كانت مسؤولة عن 43 في المئة من هؤلاء. لذا ، يعتقد الكثير من الناس الكثير عن المتسللين وهذا النوع من المنظمات شبه الحكومية المظللة أو الجريمة المنظمة ، وما إلى ذلك ، لكن الجهات الفاعلة الداخلية لا تزال تتخذ إجراءات مباشرة ضد أصحاب عملهم ، في نسبة عالية جدًا من الحالات. وهذه في بعض الأحيان تكون أصعب من الحماية ، لأن الناس قد يكون لديهم أسباب مشروعة للوصول إلى تلك البيانات. حوالي نصف ذلك ، كان 43 في المئة خسارة عرضية في بعض المعنى. لذلك ، على سبيل المثال ، في حالة قيام شخص ما بأخذ البيانات إلى المنزل ، ثم فقد تعقب تلك البيانات ، وهو ما يقودني إلى هذه النقطة الثالثة ، وهي أن الوسائط المادية ما زالت متورطة بنسبة 40 في المائة من الانتهاكات. لذلك ، هذا هو مفاتيح USB ، وهذا هو أجهزة الكمبيوتر المحمولة للأشخاص ، إنها وسائط حقيقية تم حرقها على أقراص فعلية وتم إخراجها من المبنى.
إذا فكرت ، هل لديك مطور لديه نسخة مطورة من قاعدة بيانات الإنتاج الخاصة بك على الكمبيوتر المحمول الخاص بهم؟ ثم يذهبون على متن طائرة وينطلقون من الطائرة ، ويحصلون على الأمتعة التي تم فحصها وسُرق كمبيوترهم المحمول. لديك الآن خرق البيانات. قد لا تظن بالضرورة أن هذا هو السبب وراء أخذ هذا الكمبيوتر المحمول ، فقد لا يظهر على الإطلاق في البرية. ولكن هذا لا يزال يعتبر شيئًا خاطئًا ، وسيتطلب الكشف عنه ، وستحصل على جميع الآثار النهائية لفقدان تلك البيانات ، لمجرد فقدان هذه الوسائط الفعلية.
والشيء الآخر المثير للاهتمام هو أن الكثير من الناس يفكرون في بيانات الائتمان ، ومعلومات بطاقة الائتمان باعتبارها الأكثر قيمة ، ولكن هذا ليس هو الحال بعد الآن. هذه البيانات ذات قيمة ، وأرقام بطاقات الائتمان مفيدة ، ولكن بصراحة ، يتم تغيير هذه الأرقام بسرعة كبيرة ، في حين أن البيانات الشخصية للأشخاص لا تتغير بسرعة كبيرة. شيء يحتويه عنصر الأخبار الحديثة ، حديث العهد نسبيًا ، VTech ، صانع ألعاب هذه الألعاب المصممة للأطفال. وكان الناس ، لديهم أسماء أطفالهم ، لديهم معلومات حول مكان الأطفال ، لديهم أسماء آبائهم ، وكان لديهم صور فوتوغرافية للأطفال. لم يتم تشفير أي من ذلك ، لأنه لم يعتبر مهمًا. ولكن تم تشفير كلمات المرور الخاصة بهم. حسنًا ، عندما حدث الاختراق لا محالة ، فأنت تقول ، "حسنًا ، لذلك لدي قائمة بأسماء الأطفال وأسماء آبائهم وأماكن إقامتهم - كل هذه المعلومات موجودة هناك ، وكنت تعتقد أن كلمة المرور كان الجزء الأكثر قيمة من ذلك؟ " لا يمكن للأشخاص تغيير تلك الجوانب المتعلقة ببياناتهم الشخصية ، وعنوانهم ، وما إلى ذلك ، وبالتالي فإن هذه المعلومات هي في الواقع قيمة للغاية ويجب حمايتها.
لذا ، أردت التحدث عن بعض الأشياء الجارية ، للمساهمة في الطريقة التي تحدث بها خروقات البيانات في الوقت الحالي. واحدة من النقاط الساخنة الكبيرة ، والمساحات الآن هي الهندسة الاجتماعية. لذلك يطلق الناس عليه التصيّد الاحتيالي ، فهناك انتحال شخصية ، وما إلى ذلك ، حيث يحصل الأشخاص على إمكانية الوصول إلى البيانات ، غالبًا من خلال الجهات الفاعلة الداخلية ، عن طريق إقناعهم فقط بأنه من المفترض أن يكون لهم الوصول إليها. لذلك ، في اليوم الآخر ، كان لدينا دودة مستندات Google هذه التي كانت موجودة. وما سيحدث - وتلقيت بالفعل نسخة منه ، على الرغم من أنني لحسن الحظ لم أضغط عليه - كنت تتلقى رسالة بريد إلكتروني من زميلك ، قائلة: "إليك رابط Google Doc ؛ تحتاج إلى النقر فوق هذا لعرض ما قمت بمشاركته معك للتو. "حسنًا ، في مؤسسة تستخدم مُحرر مستندات Google ، هذا أمر تقليدي جدًا ، ستحصل على العشرات من هذه الطلبات يوميًا. إذا قمت بالنقر فوقها ، فسيطلب منك إذنًا بالوصول إلى هذا المستند ، وربما تقول: "هذا يبدو غريباً بعض الشيء ، لكنك تعلم أنه يبدو شرعيًا أيضًا ، لذلك سأذهب إلى الأمام و انقر فوقه "، وبمجرد قيامك بذلك ، كنت تمنح هذا الطرف الثالث حق الوصول إلى جميع مستندات Google الخاصة بك ، وبالتالي ، يمكنك إنشاء هذا الرابط لهذا الممثل الخارجي ليتمكن من الوصول إلى جميع مستنداتك على Google Drive. هذا دودة في كل مكان. لقد أصابت مئات الآلاف من الناس في غضون ساعات. وكان هذا في الأساس هجوم تصيد احتيالي انتهى به الأمر إلى توقف Google نفسها ، لأنه تم تنفيذه جيدًا. سقط الناس لذلك.
أذكر هنا خرق سناب شات للموارد البشرية. كانت هذه مجرد مسألة بسيطة تتمثل في إرسال شخص ما عبر البريد الإلكتروني ، مما يدل على أنه الرئيس التنفيذي ، وإرساله بالبريد الإلكتروني إلى قسم الموارد البشرية ، قائلاً: "أحتاج منك أن ترسل لي جدول البيانات هذا". لقد آمنوا به ، وقاموا بوضع جدول بيانات يضم 700 موظف مختلف. 'معلومات التعويض وعناوين منازلهم ، وما إلى ذلك ، عبر البريد الإلكتروني إلى هذا الطرف الآخر ، لم يكن في الواقع الرئيس التنفيذي. الآن ، كانت البيانات معطلة ، وكانت جميع المعلومات الشخصية والعامة لموظفيها موجودة ومتاحة للاستغلال. لذا ، فإن الهندسة الاجتماعية هي شيء أذكره في عالم قواعد البيانات ، لأن هذا شيء يمكنك محاولة الدفاع عنه من خلال التعليم ، ولكن عليك أيضًا أن تتذكر أنه في أي مكان يتفاعل فيه شخص مع التكنولوجيا الخاصة بك ، إذا كنت تعتمد على حكمهم الجيد لمنع انقطاع التيار ، فأنت تطلب منهم الكثير.
يرتكب الناس أخطاء ، والناس ينقرون على أشياء لا ينبغي أن يكون لديهم ، والناس يسقطون عن حيل ذكية. ويمكنك أن تحاول جاهدة حمايتها ضدها ، لكنها ليست قوية بما فيه الكفاية ، تحتاج إلى محاولة الحد من قدرة الناس على إعطاء هذه المعلومات عن طريق الخطأ في أنظمة قاعدة البيانات الخاصة بك. الشيء الآخر الذي أردت أن أذكر أنه من الواضح أننا نتحدث عن الكثير هو الفدية ، الروبوتات ، الفيروسات - كل هذه الطرق الآلية المختلفة. وما أعتقد أنه من المهم فهمه حول رانسومواري هو أنه يغير حقًا نموذج الربح للمهاجمين. في حال كنت تتحدث عن خرق ، يتعين عليهم ، إلى حد ما ، استخراج البيانات والحصول عليها لأنفسهم والاستفادة منها. وإذا كانت بياناتك غامضة ، أو إذا كانت مشفرة ، أو إذا كانت خاصة بالصناعة ، فربما ليس لديهم أي قيمة لها.
حتى هذه النقطة ، ربما شعر الناس أن ذلك كان بمثابة حماية لهم ، "لست بحاجة إلى حماية نفسي من خرق البيانات ، لأنه إذا كانوا سيصلون إلى نظامي ، فكل ما عليهم فعله هو هو ، أنا أستوديو للتصوير الفوتوغرافي ، ولدي قائمة بمن سيأتي في أي يوم من أيام العام المقبل. من يهتم بذلك؟ "حسنًا ، اتضح أن الإجابة هي أنك تهتم بذلك ؛ أنت تقوم بتخزين هذه المعلومات ، إنها معلوماتك المهمة للأعمال. لذلك ، باستخدام فدية ، سيقول المهاجم: "حسنًا ، لن يعطيني أي شخص آخر أموالًا مقابل ذلك ، لكنك ستفعل ذلك". لذا ، فإنهم يستفيدون من حقيقة أنهم لا يضطرون حتى إلى إخراج البيانات ، فهم لا يفعلون ذلك ". حتى يجب أن يكون هناك خرق ، فهم بحاجة فقط إلى استخدام أدوات الأمان بشكل عدواني ضدك. يدخلون إلى قاعدة البيانات الخاصة بك ، ويقومون بتشفير محتوياتها ، ثم يقولون ، "حسنًا ، لدينا كلمة المرور ، وسيتعين علينا دفع 5000 دولار للحصول على كلمة المرور هذه ، وإلا فلن يكون لديك هذه البيانات بعد الآن. "
والناس يدفعون يجدون أنفسهم مضطرين للقيام بذلك. لقد واجهت MongoDB مشكلة كبيرة نوعًا ما قبل شهرين ، وأعتقد أن هذا كان في يناير ، حيث ضربت برامج الفدية ، على ما أعتقد ، أكثر من مليون قاعدة بيانات MongoDB لديهم بشكل عام على الإنترنت ، استنادًا إلى بعض الإعدادات الافتراضية. وما زاد الأمر سوءًا هو أن الناس كانوا يدفعون ، لذا فإن المنظمات الأخرى ستدخل وتعيد التشفير أو تدعي أنها كانت هي التي قامت بتشفيرها في الأصل ، لذلك عندما دفعت أموالك ، وأعتقد في هذه الحالة أنهم كانوا عندما يسأل عن شيء مثل 500 دولار ، يمكن للناس أن يقولوا ، "حسنًا ، سأدفع أكثر من ذلك لأدفع باحثًا للدخول إلى هنا لمساعدتي في اكتشاف الخطأ الذي حدث. سأدفع فقط 500 دولار. "ولم يدفعوا حتى للممثل المناسب ، لذلك سيتراكمون مع عشر منظمات مختلفة تخبرهم ،" لدينا كلمة المرور "، أو" لقد قمنا حصلت على الطريق لك لإلغاء تأمين بياناتك الفدية ". وعليك أن تدفع جميعها من أجل الحصول عليها للعمل.
هناك أيضًا حالات كان فيها مؤلفو برامج الفدية يعانون من الأخطاء ، وأعني بذلك ، نحن لا نتحدث عن ذلك كونه موقفًا مثاليًا ، لذا حتى عندما يتم مهاجمته ، حتى بمجرد الدفع ، لا يوجد ما يضمن أنك الذهاب لاستعادة جميع البيانات الخاصة بك ، وبعض هذا الأمر معقد كذلك بواسطة أدوات InfoSec المُسلحة. لذا فإن Shadow Brokers هي مجموعة تم تسريب الأدوات التي كانت من وكالة الأمن القومي. كانت أدوات صممها كيان حكومي لأغراض التجسس وفي الواقع تعمل ضد كيانات حكومية أخرى. بعض هذه الهجمات كانت بالفعل هجمات بارزة في يوم الصفر ، والتي تجعل من بروتوكولات الأمان المعروفة تنحسر جانبا. وهكذا كان هناك ثغرة أمنية كبيرة في بروتوكول SMB على سبيل المثال ، في أحد مقالب Shadow Brokers الحديثة.
وبالتالي ، يمكن لهذه الأدوات التي تأتي إلى هنا ، في غضون بضع ساعات ، تغيير اللعبة عليك ، من حيث سطح الهجوم. لذلك كلما كنت أفكر في هذا الأمر ، فهذا أمر على المستوى التنظيمي ، يمثل أمن InfoSec وظيفته الخاصة ، ويجب أن يؤخذ على محمل الجد. عندما نتحدث عن قواعد البيانات ، يمكنني أن أنزلها قليلاً ، ليس بالضرورة أن يكون لديك كمسؤول قاعدة بيانات فهماً تامًا لما يجري مع Shadow Brokers هذا الأسبوع ، ولكن عليك أن تدرك أن جميع من هذه الأمور تتغير ، وهناك أشياء جارية ، وبالتالي فإن الدرجة التي تحافظين فيها على مجالك مشدودة وآمنة ، سيساعدك حقًا في حالة تعرضك لنوع من الأشياء من تحتك.
لذلك ، أردت أن أتوقف لحظة هنا ، قبل الانتقال إلى الحديث عن SQL Server على وجه التحديد ، لإجراء مناقشة مفتوحة مع أعضاء فريقنا حول بعض الاعتبارات المتعلقة بأمان قاعدة البيانات. لذا ، لقد وصلت إلى هذه النقطة ، بعض الأشياء التي لم نذكرها ، أردت أن أتحدث عن حقن SQL كمتجه. لذلك ، هذا هو حقن SQL ، ومن الواضح أنه هو الطريقة التي يدرج بها الأشخاص الأوامر في نظام قاعدة البيانات ، وذلك بنوع من التشوه في المدخلات.
إريك كافانا: نعم ، لقد قابلت بالفعل شخصًا - أعتقد أنه كان في قاعدة أندروز الجوية - قبل حوالي خمس سنوات ، وهو مستشار كنت أتحدث معه في الردهة وكنا نوعًا من تبادل قصص الحرب - لم يكن الهدف من التورية - وذكر أنه قد تم إحضاره من قبل شخص ما للتشاور مع عضو رفيع المستوى إلى حد ما في الجيش وسأله الرجل ، "حسنًا ، كيف نعرف أنك جيد في ما تفعله؟" وهذا وذاك . ولأنه كان يتحدث إليهم كان يستخدمه على جهاز الكمبيوتر الخاص به ، فقد دخل إلى الشبكة ، واستخدم حقن SQL للدخول إلى سجل البريد الإلكتروني لتلك القاعدة ولهؤلاء الأشخاص. وجد البريد الإلكتروني للشخص الذي يتحدث إليه وأظهر له فقط بريده الإلكتروني على جهازه! وكان الرجل مثل ، "كيف فعلت ذلك؟" ، قال ، "حسنًا ، لقد استخدمت حقن SQL".
إذن ، هذا قبل خمس سنوات فقط ، وكان في قاعدة للقوات الجوية ، أليس كذلك؟ لذلك ، من ناحية السياق ، لا يزال هذا الشيء حقيقيًا ويمكن استخدامه بتأثيرات مرعبة حقًا. أعني ، سأكون فضولياً لمعرفة أي قصص حرب يملكها روبن حول هذا الموضوع ، لكن كل هذه التقنيات لا تزال صالحة. لا تزال تستخدم في العديد من الحالات ، وهي مسألة تثقيف نفسك ، أليس كذلك؟
روبن بلور: حسنًا ، نعم. نعم ، من الممكن الدفاع ضد حقن SQL عن طريق القيام بالعمل. من السهل أن نفهم لماذا عندما تم اختراع الفكرة وانتشارها لأول مرة ، فمن السهل أن نفهم سبب نجاحها ، لأنه يمكنك فقط لصقها في حقل إدخال على صفحة ويب والحصول عليها لإرجاع البيانات لك ، أو الحصول عليها حذف البيانات في قاعدة البيانات أو أي شيء - يمكنك فقط حقن كود SQL للقيام بذلك. ولكن هذا هو الشيء الذي أثار اهتمامي ، وهو أنه كما تعلمون ، سيتعين عليك إجراء القليل من التحليل ، لكل جزء من البيانات التي تم إدخالها ، لكن من الممكن تمامًا اكتشاف محاولة شخص ما القيام بذلك. وفي الحقيقة ، أعتقد أنه في الحقيقة ، "لأن الناس ما زالوا يفلتون من ذلك ، أعني أنه من الغريب حقًا أنه لم يكن هناك طريقة سهلة لمكافحة ذلك. كما تعلمون ، أن كل شخص يمكن أن يستخدم بسهولة ، أقصد ، بقدر ما أعرف ، لم يكن هناك ، فيكي ، هناك؟
Vicky Harp: حسنًا ، في الواقع بعض حلول الرهائن ، مثل SQL Azure ، أعتقد أن لدينا بعض طرق الكشف الجيدة التي تستند إلى التعلم الآلي. ربما هذا هو ما سنراه في المستقبل ، وهو أمر تحاول التوصل إليه بحجم واحد يناسب الجميع. أعتقد أن الإجابة كانت أنه لا يوجد مقاس واحد يناسب الجميع ، ولكن لدينا آلات يمكنها معرفة حجمك والتأكد من ملاءمته ، أليس كذلك؟ وبالتالي إذا كان لديك إيجابية خاطئة ، فذلك لأنك تفعل شيئًا غير عادي في الواقع ، ليس لأنك اضطررت إلى المضي قدماً وتحديد كل ما قد يفعله تطبيقك بشق الأنفس.
أعتقد أن أحد الأسباب التي تجعله لا يزال غزيرًا للغاية هو أن الناس ما زالوا يعتمدون على تطبيقات الطرف الثالث ، والتطبيقات من مزودي خدمات الإنترنت وتلك التي لطخت مع مرور الوقت. لذا ، تتحدث عن منظمة اشترت تطبيقًا هندسيًا كتب في عام 2001. ولم تقم بتحديثه ، لأنه لم تحدث أي تغييرات وظيفية كبيرة منذ ذلك الحين ، وكان المؤلف الأصلي منه نوعًا ما ، لم يكونوا مهندسين ، ولم يكونوا خبيرًا في أمان قاعدة البيانات ، ولم يفعلوا الأشياء بالطريقة الصحيحة في التطبيق ، وانتهى بهم المطاف ليكونوا متجهين. أفهم أنه - أعتقد أنه كان خرق البيانات المستهدف ، الخلاف الكبير حقًا - لقد كان ناقل الهجوم عبر أحد موردي أجهزة تكييف الهواء ، أليس كذلك؟ لذا ، فإن المشكلة مع تلك الجهة الخارجية ، يمكنك ، إذا كنت تملك متجرك الخاص بالتطوير ، فربما يمكنك وضع بعض من هذه القواعد في مكانها الصحيح ، والقيام بذلك بشكل عام كلما. كمؤسسة ، قد يكون لديك مئات أو حتى الآلاف من التطبيقات قيد التشغيل ، مع جميع الملفات الشخصية المختلفة. أعتقد أن هذا هو المكان الذي سيأتي فيه التعلم الآلي ويبدأ في مساعدتنا كثيرًا.
كانت قصتي في الحرب حياة تعليمية. حصلت على رؤية هجوم حقن SQL ، والشيء الذي لم يحدث لي هو استخدام SQL سهل القراءة. أفعل هذه الأشياء تسمى بطاقات عطلة P SQL المبهمة. أود القيام به ، وجعل هذه SQL تبدو مربكة قدر الإمكان. هناك مسابقة رمز C ++ المبهمة التي استمرت لعقود حتى الآن ، وهي فكرة من نفس النوع. لذلك ، ما حصلت عليه بالفعل هو حقن SQL الذي كان في حقل سلسلة مفتوحة ، وأغلق السلسلة ، ووضعها في فاصلة منقوطة ، ثم وضع أمر exec في ذلك الوقت وكان لديه سلسلة من الأرقام ، ثم كان يستخدم بشكل أساسي أمر casting لتحويل هذه الأرقام إلى ثنائي ثم تحويل تلك القيم بدورها إلى قيم شخصية ثم تنفيذ ذلك. لذلك ، ليس الأمر كما لو كان عليك أن ترى شيئًا يقول ، "حذف بدء التشغيل من جدول الإنتاج" ، لقد كان محشوًا بالفعل في حقول رقمية مما جعل رؤيته أكثر صعوبة. وحتى بعد أن رأيته ، لتحديد ما كان يحدث ، استغرق الأمر بعض اللقطات الحقيقية لـ SQL ، لتتمكن من معرفة ما كان يحدث ، وفي أي وقت تم بالفعل إنجاز العمل.
روبن بلور: ومن بين الأشياء التي تعد مجرد ظاهرة في كل عالم الاختراق أنه إذا وجد شخص ما نقطة ضعف وتصادف وجوده في برنامج تم بيعه بشكل عام ، فأحد المشاكل المبكرة هي كلمة مرور قاعدة البيانات التي أعطيت لك عندما تم تثبيت قاعدة بيانات ، كان الكثير من قواعد البيانات في الواقع الفعلي مجرد افتراضي. والكثير من DBAs ببساطة لم يغير ذلك ، وبالتالي يمكنك إدارة الوصول إلى الشبكة بعد ذلك ؛ يمكنك فقط تجربة كلمة المرور هذه ، وإذا نجحت ، فقد فزت للتو في اليانصيب. والشيء المثير للاهتمام هو أن كل هذه المعلومات يتم تداولها بكفاءة وفعالية كبيرة بين مجتمعات القرصنة على مواقع darknet. وهم يعرفون. لذلك ، يمكن أن يقوموا بمسح ما يوجد هناك ، والعثور على عدد قليل من الحالات ، وإلقاء بعض عمليات القرصنة استغلالًا تلقائيًا ، وهم موجودون. وهذا ، على ما أعتقد ، كثير من الناس على الأقل في محيط كل هذا ، لا تفهم حقًا مدى سرعة استجابة شبكة القرصنة للضعف.
فيكي هارب: نعم ، هذا يثير في الواقع شيئًا آخر أردت أن أذكره قبل أن أتقدم ، وهو فكرة حشو الاعتماد هذه ، وهو أمر بدأ يظهر كثيرًا ، وهو أنه بمجرد سرقة بيانات اعتمادك لشخص ما في أي مكان ، في أي موقع ، ستتم إعادة استخدام بيانات الاعتماد هذه في جميع المجالات. لذا ، إذا كنت تستخدم كلمات مرور مكررة ، على سبيل المثال ، إذا كان المستخدمون لديك ، حتى ، فلنضعها على هذا النحو ، فقد يتمكن شخص ما من الوصول إلى ما يبدو أنه مجموعة بيانات اعتماد صالحة تمامًا. لذلك ، لنفترض أنني استخدمت نفس كلمة المرور الخاصة بي في Amazon وفي البنك الخاص بي ، وأيضًا في أحد المنتديات وتم اختراق برنامج المنتدى ، كما أن لديهم اسم المستخدم وكلمة المرور الخاصة بي. ويمكنهم بعد ذلك استخدام نفس اسم المستخدم في Amazon ، أو يمكنهم استخدامه في البنك. وبقدر ما يتعلق الأمر بالبنك ، كان تسجيل الدخول صالحًا تمامًا. الآن ، يمكنك اتخاذ الإجراءات الشائنة عبر الوصول المصرح به بالكامل.
لذلك ، يعود هذا النوع مرة أخرى إلى ما كنت أقوله عن الانتهاكات الداخلية والأعراف الداخلية. إذا كان لديك أشخاص في مؤسستك يستخدمون نفس كلمة المرور الخاصة بهم للوصول الداخلي التي يقومون بها للوصول الخارجي ، فلديك إمكانية أن يأتي شخص ما وينتحل انتحال شخصية عبر اختراق في بعض المواقع الأخرى التي لا تريدها حتى تعرف عنه. ويتم نشر هذه البيانات بسرعة كبيرة. هناك قوائم ، أعتقد أن أحدث عبء لـ "لقد تم تأثرني" من قبل Troy Hunt ، قال إن لديه نصف مليار مجموعة من أوراق الاعتماد ، وهي - إذا كنت تفكر في عدد الأشخاص على هذا الكوكب - فهذا عدد كبير جدًا من بيانات الاعتماد التي تم توفيرها لحشو بيانات الاعتماد.
لذا ، سأذهب خطوة أعمق قليلاً وأتحدث عن أمان SQL Server. الآن أريد أن أقول أنني لن أحاول تزويدك بكل ما تحتاج إلى معرفته لتأمين SQL Server الخاص بك في العشرين دقيقة التالية ؛ هذا يبدو قليلا من أجل طويل القامة. لذلك ، حتى للبدء ، أريد أن أقول أن هناك مجموعات على الإنترنت وموارد عبر الإنترنت يمكنك بالتأكيد من Google ، أن هناك كتبًا ، وهناك مستندات حول أفضل الممارسات على Microsoft ، وهناك فصل افتراضي للأمان للمشاركين المحترفين في SQL Server ، إنهم موجودون في security.pass.org ولديهم ، على ما أعتقد ، نشرات شهرية على الإنترنت وتسجيلات للبث على الويب لمعرفة كيفية إجراء أمان SQL Server الحقيقي. لكن هذه بعض الأشياء التي تحدثت إليّ ، كمتحدثين معك كمحترفي بيانات ، ومحترفي تكنولوجيا المعلومات ، كموظفين DBA ، أريدك أن تعرف أنك بحاجة إلى معرفتها باستخدام أمان SQL Server.
لذلك أول واحد هو الأمن المادي. هكذا ، كما قلت سابقًا ، لا تزال سرقة الوسائط المادية شائعة للغاية. وبالتالي فإن السيناريو الذي قدمته مع الجهاز dev ، مع نسخة من قاعدة البيانات الخاصة بك على الجهاز dev والتي تمت سرقتها - هذا هو ناقل شائع للغاية ، وهذا هو ناقل تحتاج إلى أن تكون على علم ومحاولة اتخاذ إجراءات ضد. هذا صحيح أيضًا بالنسبة لأمان النسخ الاحتياطي ، لذلك كلما احتجت إلى نسخ بياناتك احتياطيًا ، يلزمك عمل نسخة احتياطية لها مشفرة ، وتحتاج إلى عمل نسخة احتياطية إلى موقع آمن. في كثير من الأحيان هذه البيانات التي كانت محمية حقًا في قاعدة البيانات ، بمجرد أن تبدأ في الخروج إلى المواقع الطرفية ، على أجهزة dev ، إلى آلات الاختبار ، نحصل على القليل من الحذر بشأن الترقيع ، نحصل على أقل قليلاً احرص على الأشخاص الذين يمكنهم الوصول إليها. الشيء التالي الذي تعرفه هو أنك حصلت على نسخ احتياطية لقاعدة بيانات غير مشفرة مخزنة على مشاركة عامة في مؤسستك وهي متاحة للاستغلال من قبل العديد من الأشخاص المختلفين. لذا ، فكر في الأمان المادي وبساطة ذلك ، هل يمكن لشخص ما السير ووضع مفتاح USB في الخادم الخاص بك؟ يجب أن لا تسمح بذلك.
العنصر التالي الذي أريدك أن تفكر فيه هو أمان النظام الأساسي ، وبالتالي نظام التشغيل المحدث ، والتصحيحات الحديثة. من الممتع جدًا سماع الأشخاص الذين يتحدثون عن البقاء على الإصدارات القديمة من Windows ، والإصدارات الأقدم من SQL Server ، معتقدين أن التكلفة الوحيدة في اللعب هي تكلفة ترقية الترخيص ، وهذا ليس هو الحال. نحن مع الأمن ، إنه مجرى مستمر في النزول إلى أسفل التل ومع مرور الوقت ، يتم العثور على المزيد من عمليات الاستغلال. Microsoft في هذه الحالة ، ومجموعات أخرى حسب الحالة ، ستقوم بتحديث الأنظمة الأقدم إلى حد ما ، وفي النهاية سوف تتوقف عن الدعم ولن يتم تحديثها بعد الآن ، لأنها مجرد عملية لا تنتهي اعمال صيانة.
وبالتالي ، يجب أن تكون على نظام تشغيل مدعوم ويجب أن تكون محدّثًا على تصحيحاتك ، وقد وجدنا مؤخرًا مثل Shadow Brokers ، في بعض الحالات ، قد تكون لدى Microsoft نظرة ثاقبة حول انتهاكات الأمان الرئيسية المقبلة ، قبلها يتم نشرها ، قبل الكشف عنها ، لذلك لا تدع نفسك يحصل على كل الملتوية. أفضل عدم التوقف عن العمل ، أفضل الانتظار وقراءة كل واحد منهم واتخاذ قرار. قد لا تعرف ما هي قيمتها حتى بضعة أسابيع أسفل السطر بعد معرفة سبب حدوث هذا التصحيح. لذلك ، والبقاء على رأس ذلك.
يجب أن يكون لديك جدار الحماية تكوين. كان من المثير للصدمة في البنك المركزي السويسري خرق عدد الأشخاص الذين كانوا يقومون بتشغيل إصدارات قديمة من SQL Server مع جدار الحماية مفتوح بالكامل للإنترنت ، لذلك يمكن لأي شخص الدخول والقيام بكل ما يريد مع خوادمهم. يجب أن تستخدم جدار الحماية. حقيقة أن عليك في بعض الأحيان تكوين القواعد أو تقديم استثناءات محددة للطريقة التي تمارس بها عملك هو السعر المناسب للدفع. تحتاج إلى التحكم في المساحة السطحية في أنظمة قاعدة البيانات الخاصة بك - هل أنت مشترك في تثبيت الخدمات أو خوادم الويب مثل IIS على نفس الجهاز؟ هل تشارك نفس مساحة القرص ومشاركة نفس مساحة الذاكرة مثل قواعد البيانات والبيانات الخاصة بك؟ حاول ألا تفعل ذلك ، حاول عزله ، واحتفظ بمساحة السطح أصغر ، بحيث لا داعي للقلق بشأن التأكد من أن كل ذلك آمن في أعلى قاعدة البيانات. يمكنك نوعًا ما من الفصل بين تلك المنصة ، ومنصة ، وفصلها ، وإعطاء نفسك قليلاً من غرفة التنفس.
يجب أن لا يكون لديك مدراء متميزين يركضون في كل مكان قادرين على الوصول إلى جميع البيانات الخاصة بك. قد لا تحتاج حسابات مسؤول نظام التشغيل بالضرورة إلى الوصول إلى قاعدة البيانات الخاصة بك ، أو إلى البيانات الأساسية في قاعدة البيانات عن طريق التشفير ، والتي سنتحدث عنها خلال دقيقة واحدة. والوصول إلى ملفات قاعدة البيانات ، تحتاج إلى تقييد ذلك أيضا. إنه لأمر سخيف أن تقول ، حسناً ، لا يمكن لأي شخص الوصول إلى قواعد البيانات هذه عبر قاعدة البيانات ؛ لن يسمح SQL Server نفسه لهم بالوصول إليه ، ولكن إذا كان بإمكانهم الالتفاف ، فاخذ نسخة من ملف MDF الفعلي ، وقم بنقله ببساطة ، وإرفاقه بـ SQL Server الخاص بهم ، لم تكن قد أنجزت حقًا كثير.
التشفير ، لذلك التشفير هو ذلك السيف الشهير في اتجاهين. يوجد الكثير من مستويات التشفير المختلفة التي يمكنك القيام بها على مستوى نظام التشغيل والطريقة المعاصرة لفعل الأشياء لـ SQL و Windows هي باستخدام BitLocker وعلى مستوى قاعدة البيانات يطلق عليه TDE أو تشفير البيانات الشفاف. لذا ، فهذه طريقتان لإبقاء بياناتك مشفرة في حالة من الراحة. إذا كنت ترغب في الحفاظ على تشفير بياناتك بشكل أكثر شمولًا ، يمكنك القيام بها مشفرة - آسف ، لقد تقدمت إلى الأمام نوعًا ما. يمكنك إجراء اتصالات مشفرة بحيث يتم تشفيرها كلما كان في حالة عبور ، بحيث إذا كان هناك شخص يستمع إليه ، أو كان لديه رجل في منتصف الهجوم ، فإنك تحصل على بعض الحماية لتلك البيانات عبر السلك. يجب تشفير النسخ الاحتياطية الخاصة بك ، كما قلت ، قد تكون في متناول الآخرين ، ثم إذا كنت تريد تشفيرها في الذاكرة وأثناء الاستخدام ، فلدينا تشفير للأعمدة ، وبعد ذلك ، لدى SQL 2016 فكرة "دومًا" مشفر "حيث يتم تشفيره فعليًا على القرص ، في الذاكرة ، على السلك ، وصولاً إلى التطبيق الذي يستخدم بالفعل البيانات.
الآن ، كل هذا التشفير ليس مجانيًا: هناك وحدة المعالجة المركزية ، وأحيانًا تشفير الأعمدة والحالة المشفرة دائمًا ، وهناك تأثيرات على الأداء من حيث قدرتك على القيام بالبحث عن تلك البيانات. ومع ذلك ، فإن هذا التشفير ، إذا تم تجميعه بشكل صحيح ، فهذا يعني أنه إذا تمكن شخص ما من الوصول إلى بياناتك ، فسيتم تقليل التلف إلى حد كبير ، لأنه كان قادرًا على الحصول عليه ومن ثم لن يتمكن من فعل أي شيء به. ومع ذلك ، فهذه هي أيضًا الطريقة التي تعمل بها الفدية ، وهي أن يقوم شخص ما بتشغيل هذه العناصر وتشغيلها ، بشهادة خاصة بهم أو كلمة مرور خاصة بهم ولا يمكنك الوصول إليها. لذلك ، من المهم التأكد من قيامك بذلك ، ومن الوصول إليه ، لكنك لا تمنحه ، مفتوحًا أمام الآخرين والمهاجمين.
وبعد ذلك ، مبادئ الأمان - لن أؤكد هذه النقطة ، لكن تأكد من عدم وجود كل مستخدم يعمل في SQL Server كمسؤول متميز. قد يرغب مطوروك في ذلك ، قد يرغب مستخدمون مختلفون في ذلك - يشعرون بالإحباط بسبب الحاجة إلى طلب الوصول إلى العناصر الفردية - لكن عليك أن تكون حريصًا على ذلك ، وعلى الرغم من أنه قد يكون أكثر تعقيدًا ، يمكنك منح الوصول إلى الكائنات و قواعد البيانات والمخططات الصالحة للعمل المستمر ، وهناك حالة خاصة ، وربما هذا يعني تسجيل دخول خاص ، وهذا لا يعني بالضرورة رفع الحقوق ، بالنسبة لمستخدم الحالة العادي.
وبعد ذلك ، هناك اعتبارات للامتثال التنظيمي تتوافق مع هذا وبعض الحالات قد تنفجر بالفعل بطريقتها الخاصة - لذلك هناك HIPAA ، SOX ، PCI - هناك كل هذه الاعتبارات المختلفة. وعندما تمر بعملية تدقيق ، يُتوقع منك أن تُظهر أنك تقوم باتخاذ إجراءات لتبقى ملتزمًا بذلك. ولهذا ، هناك الكثير مما يجب متابعته ، وأود أن أقول كقائمة مهام DBA ، إنك تحاول التأكد من تكوين التشفير المادي للأمان ، وتحاول التأكد من أن الوصول إلى تلك البيانات قيد المراجعة لأغراض الامتثال الخاصة بك ، والتأكد من أن الأعمدة الحساسة الخاصة بك ، وأنك تعرف ما هي ، أين هم ، تلك التي يجب تشفيرها ومشاهدتها. والتأكد من أن التكوينات تتوافق مع الإرشادات التنظيمية التي تخضع لها. وعليك أن تبقي كل هذا محدثًا لأن الأمور تتغير.
لذا ، هناك الكثير مما يجب فعله ، ولذا إذا أردت ترك الأمر هناك ، فسأقول "اذهب". ولكن هناك الكثير من الأدوات المختلفة لذلك ، وهكذا ، إذا جاز لي في الدقائق القليلة الماضية ، أردت أن أريك بعض الأدوات التي لدينا في IDERA لذلك. والاثنان الذي أردت التحدث عنه اليوم هما SQL Secure و SQL Compliance Manager. SQL Secure هي أداة لدينا للمساعدة في تحديد نوع الثغرات الأمنية في التكوين. سياسات الأمان الخاصة بك ، أذونات المستخدم الخاصة بك ، تكوينات مساحة السطح الخاصة بك. ولديه قوالب لمساعدتك على الامتثال لأطر تنظيمية مختلفة. هذا في حد ذاته ، هذا السطر الأخير ، قد يكون السبب وراء تفكير الناس فيه. نظرًا لأن قراءة هذه اللوائح المختلفة وتحديد ما يعنيه ذلك ، فإن PCI ومن ثم أخذ ذلك على طول الطريق إلى SQL Server الخاص بي في متجري ، فهذا كثير من العمل. هذا شيء يمكن أن تدفعه كثيرًا من المال للاستشارات ؛ لقد ذهبنا وقمنا بذلك الاستشارات ، لقد عملنا مع شركات التدقيق المختلفة ، وما إلى ذلك ، للتوصل إلى ما هي هذه القوالب - وهو أمر من المحتمل أن يجتاز التدقيق في حالة وجوده. وبعد ذلك يمكنك استخدام هذه القوالب ورؤيتها في بيئتك.
لدينا أيضًا أداة شقيقة أخرى في شكل SQL Compliance Manager ، وهنا يكمن SQL Secure في إعدادات التكوين. SQL Compliance Manager يدور حول رؤية ما تم بواسطة من ومتى. لذلك ، يتم تدقيقه ، لذلك يسمح لك بمراقبة النشاط أثناء حدوثه ويتيح لك اكتشاف وتتبع من الذي يصل إلى الأشياء. هل كان شخص ما ، على سبيل المثال النموذجي لكونه من المشاهير الذين دخلوا المستشفى ، هل كان شخص ما يبحث عن معلوماتهم بدافع الفضول؟ هل لديهم سبب للقيام بذلك؟ يمكنك إلقاء نظرة على سجل التدقيق ومعرفة ما كان يجري ، من الذي كان يقوم بالوصول إلى هذه السجلات. ويمكنك التعرف على أن لديها أدوات لمساعدتك في تحديد الأعمدة الحساسة ، لذلك ليس عليك بالضرورة قراءة ذلك بنفسك.
لذا ، إذا سمحت ، فسوف أواصل عرض بعض هذه الأدوات هنا في الدقائق القليلة الماضية - والرجاء عدم اعتبارها عرضًا متعمقًا. أنا مدير منتج ، وليس مهندس مبيعات ، لذلك سأعرض عليك بعض الأشياء التي أعتقد أنها ذات صلة بهذه المناقشة. لذلك ، هذا هو منتج SQL Secure الخاص بنا. وكما ترون هنا ، لدي نوع من بطاقة التقارير عالية المستوى هذه. جريت هذا ، على ما أعتقد ، أمس. وهذا يوضح لي بعض الأشياء التي لم يتم إعدادها بشكل صحيح وبعض الأشياء التي تم إعدادها بشكل صحيح. لذلك ، يمكنك أن ترى أن هناك عددًا لا بأس به من أكثر من 100 شيكًا مختلفًا قمنا به هنا. وأستطيع أن أرى أن تشفير النسخ الاحتياطي الخاص بي على النسخ الاحتياطية كنت أفعله ، وأنا لا أستخدم تشفير النسخ الاحتياطي. حساب SA الخاص بي ، المسمى بوضوح "حساب SA" غير معطل أو معاد تسميته. يحتوي دور الخادم العام على إذن ، لذا فهذه كلها أشياء قد أرغب في تغييرها.
لدي السياسة الموضوعة هنا ، لذلك إذا أردت إعداد سياسة جديدة ، للتطبيق على الخوادم الخاصة بي ، فلدينا جميع هذه السياسات المدمجة. لذا ، سوف أستخدم نموذج سياسة حاليًا ويمكنك أن ترى أن لدي CIS و HIPAA و PCI و SR ومازالت مستمرة ، ونحن بالفعل بصدد إضافة سياسات إضافية بشكل مستمر ، استنادًا إلى الأشياء التي يحتاجها الناس في هذا المجال . ويمكنك أيضًا إنشاء سياسة جديدة ، لذلك إذا كنت تعرف ما الذي يبحث عنه مدقق الحسابات ، فيمكنك إنشاؤه بنفسك. وبعد ذلك ، عند القيام بذلك ، يمكنك الاختيار من بين كل هذه الإعدادات المختلفة ، والتي تحتاج إلى تعيينها ، في بعض الحالات ، لديك بعض - دعني أعود وأجد أحد الإعدادات التي تم إنشاؤها مسبقًا. هذا مناسب ، يمكنني اختيار ، على سبيل المثال ، HIPAA - لقد حصلت بالفعل على HIPAA ، يا سيئ - PCI ، وبعد ذلك ، أثناء النقر هنا ، أستطيع أن أرى في الواقع المرجع التبادلي الخارجي إلى قسم اللائحة التي يرتبط هذا ل. هذا سيساعدك لاحقًا ، عندما تحاول معرفة لماذا أقوم بإعداد هذا؟ لماذا أحاول أن أنظر إلى هذا؟ ما هو القسم المتعلق بهذا؟
يحتوي هذا أيضًا على أداة لطيفة من حيث أنه يتيح لك الدخول وتصفح المستخدمين ، لذا فإن إحدى الأشياء الصعبة حول استكشاف أدوار المستخدم الخاصة بك ، هي أنه في الحقيقة ، سألقي نظرة هنا. لذلك ، إذا عرضت أذونات لـ my ، فلنر ، فلنختار مستخدمًا هنا. إظهار الأذونات. أستطيع أن أرى الأذونات المعينة لهذا الخادم ، ولكن بعد ذلك يمكنني النقر هنا وحساب الأذونات الفعالة ، وسيمنحني القائمة الكاملة بناءً على ذلك ، لذلك في هذه الحالة يكون هذا المسؤول ، لذلك فهو ليس مثيرًا ، يمكنني الانتقال واختيار المستخدمين المختلفين ومعرفة أذوناتهم الفعالة ، بناءً على جميع المجموعات المختلفة التي قد ينتمون إليها. إذا حاولت القيام بذلك بنفسك ، فيمكن أن يكون الأمر في الواقع من المتاعب ، لمعرفة ذلك ، حسناً ، هذا المستخدم عضو في هذه المجموعات ، وبالتالي يمكنه الوصول إلى هذه الأشياء عبر المجموعات ، إلخ.
لذلك ، الطريقة التي يعمل بها هذا المنتج ، هي أنه يأخذ لقطات ، لذلك في الحقيقة ليست عملية صعبة للغاية لالتقاط لقطة من الخادم على أساس منتظم ، ثم يحتفظ بهذه لقطات مع مرور الوقت حتى تتمكن من مقارنة التغييرات. لذلك ، هذا ليس مراقبة مستمرة بالمعنى التقليدي لمثل أداة مراقبة الأداء ؛ هذا شيء ربما تكون قد قمت بإعداده لتشغيله مرة واحدة في الليلة ، مرة واحدة في الأسبوع - ولكن غالبًا ما تعتقد أنه صالح - لذلك ، كلما أجريت التحليل وكنت تفعل أكثر قليلاً ، أنت في الواقع مجرد العمل داخل أداتنا. أنت لا تقوم بالاتصال بالخادم الخاص بك كثيرًا ، لذا فهذه أداة صغيرة لطيفة لتعمل بها ، من أجل التوافق مع هذا النوع من الإعدادات الثابتة.
الأداة الأخرى التي أريد أن أوضحها لك هي أداة مدير التوافق الخاصة بنا. مدير الامتثال سوف يراقب بطريقة أكثر استمرارية. وسوف نرى من يفعل ما على الخادم الخاص بك ويسمح لك بإلقاء نظرة عليه. لذا ، ما فعلته هنا ، خلال الساعات القليلة الماضية أو نحو ذلك ، حاولت فعلاً خلق بعض المشاكل الصغيرة. لذلك ، لدي هنا ما إذا كانت مشكلة أم لا ، ربما أعلم عنها ، لقد قام شخص ما بالفعل بإنشاء تسجيل دخول وإضافته إلى دور خادم. لذلك ، إذا دخلت وألقيت نظرة على ذلك ، يمكنني أن أرى - أعتقد أنه لا يمكنني النقر بزر الماوس الأيمن هناك ، أستطيع أن أرى ما يحدث. لذلك ، هذه هي لوحة المعلومات الخاصة بي وأستطيع أن أرى أنني تلقيت عددًا من عمليات تسجيل الدخول الفاشلة في وقت مبكر اليوم. كان لدي مجموعة من النشاط الأمني ، نشاط DBL.
لذلك ، اسمحوا لي أن أذهب إلى أحداث التدقيق الخاصة بي وألقي نظرة. لقد قمت هنا بتجميع أحداث التدقيق الخاصة بي مصنفة حسب الفئة والكائن المستهدف ، لذلك إذا ألقيت نظرة على ذلك الأمان من قبل ، يمكنني أن أرى DemoNewUser ، حدث تسجيل الدخول إلى الخادم هذا. وأستطيع أن أرى أن تسجيل الدخول SA أنشأ حساب DemoNewUser ، هنا ، الساعة 2:42 بعد ذلك ، وبعد ذلك ، أرى أنه بدوره ، أضف تسجيل الدخول إلى الخادم ، تمت إضافة DemoNewUser هذه إلى مجموعة مسؤول الخادم ، وتمت إضافتها إلى مجموعة مسؤول الإعداد ، تمت إضافتها إلى مجموعة مسؤول النظام. لذلك ، هذا شيء أود أن أعرف أنه قد حدث. لقد قمت أيضًا بإعداده بحيث يتم تتبع الأعمدة الحساسة في الجداول الخاصة بي ، حتى أتمكن من معرفة من قام بالوصول إليها.
لذلك ، لدي هنا مجموعة مختارة تم تحديدها على طاولة شخصيتي ، من Adventure Works. وأستطيع أن ألقي نظرة وأرى أن المستخدم SA على طاولة Adventure Works قام باختيار أفضل عشرة نجوم من شخص نقطة شخص. لذلك ربما في مؤسستي لا أريد أن يقوم الأشخاص باختيار نجوم من شخص dot person ، أو أتوقع فقط بعض المستخدمين القيام بذلك ، ولذا فإنني سأرى ذلك هنا. لذلك ، - ما تحتاجه فيما يتعلق بتدقيقك ، يمكننا إعداد ذلك استنادًا إلى الإطار وهذا يعد أكثر من أداة مكثفة. يستخدم تتبع SQL أو أحداث SQLX ، اعتمادًا على الإصدار. وهذا شيء يجب أن يكون لديك مساحة أعلى على خادمك لاستيعابه ، لكنه أحد هذه الأشياء ، مثل التأمين ، وهو أمر لطيف إذا لم يكن لدينا تأمين على السيارات - سيكون ذلك التكلفة التي لن نضطر إلى تحملها - ولكن إذا كان لديك خادم تحتاج إلى تتبع من يقوم به ، فقد تضطر إلى الحصول على مساحة رأس إضافية قليلاً وأداة من هذا القبيل للقيام بذلك. سواء كنت تستخدم أداتنا أو تقوم بتدويرها بنفسك ، ستكون مسؤولاً في النهاية عن امتلاك هذه المعلومات لأغراض الامتثال التنظيمي.
هكذا قلت ، ليس عرضًا متعمقًا ، مجرد ملخص سريع وقليل. أردت أيضًا أن أوضح لك أداة سريعة وقليلة في شكل بحث أعمدة SQL ، وهو شيء يمكنك استخدامه لتحديد الأعمدة في بيئتك التي تبدو معلومات حساسة. لذلك ، لدينا عدد من تكوينات البحث حيث تبحث عن أسماء مختلفة من الأعمدة التي تحتوي عادةً على بيانات حساسة ، وبعد ذلك ، حصلت على هذه القائمة بأكملها التي تم تحديدها. لدي 120 منهم ، ثم قمت بتصديرها هنا ، حتى أتمكن من الاستفادة منها للقول ، دعنا نلقي نظرة ونتأكد من أنني أتتبع الوصول إلى الاسم الأوسط أو شخص واحد أو شخص أو ضريبة مبيعات معدل ، الخ
أعلم أننا وصلنا في نهاية عصرنا هنا. وهذا هو كل ما كان علي فعلاً أن أريكه لك ، لذا أي أسئلة بالنسبة لي؟
إريك كافاناغ: لديّ شخصان جيدان من أجلك. اسمحوا لي أن انتقل هذا هنا. كان أحد الحاضرين يطرح سؤالًا جيدًا حقًا. أحدها يسأل عن ضريبة الأداء ، لذلك أعرف أنها تختلف من حل إلى حل ، لكن هل لديك أي فكرة عامة عن ماهية ضريبة الأداء لاستخدام أدوات أمان IDERA؟
فيكي هارب: إذن ، على SQL Secure ، مثلما قلت ، إنه منخفض جدًا ، سوف يستغرق بعض اللقطات العرضية. وحتى إذا كنت تعمل في كثير من الأحيان ، فإنه يحصل على معلومات ثابتة حول الإعدادات ، وبالتالي فهي منخفضة للغاية ، تكاد لا تذكر. فيما يتعلق بمدير الامتثال ،
إريك كافانا: مثل واحد في المئة؟
فيكي هارب: إذا كان لا بد لي من إعطاء عدد في المئة ، نعم ، سيكون واحد في المئة أو أقل. إنها معلومات أساسية حول ترتيب استخدام SSMS والانتقال إلى علامة تبويب الأمان وتوسيع نطاق الأشياء. من ناحية الامتثال ، إنها أعلى من ذلك بكثير - ولهذا السبب قلت إنها تحتاج إلى مساحة رأس صغيرة - يبدو الأمر كما لو أنه يتجاوز بكثير ما لديك من حيث مراقبة الأداء. الآن ، لا أريد تخويف الناس بعيدًا عنها ، الخدعة من خلال مراقبة الامتثال ، وإذا كان التدقيق هو التأكد من أنك تقوم فقط بمراجعة ما ستقوم باتخاذ إجراءات بشأنه. لذا ، بمجرد التصفية حتى تقول ، "مرحبًا ، أريد أن أعرف متى يتمكن الأشخاص من الوصول إلى هذه الجداول المحددة ، وأريد أن أعرف متى قام الناس بالوصول ، واتخاذ هذه الإجراءات المحددة" ، فسيكون ذلك بناءً على عدد المرات التي تكون فيها هذه الأشياء يحدث وكم البيانات التي تقوم بتوليدها. إذا قلت ، "أريد نص SQL الكامل لكل تحديد يحدث على أي من هذه الجداول" ، فسيكون ذلك غيغا بايت وبيانات غيغابايت من البيانات التي يتعين تحليلها بواسطة SQL Server المخزنة والتي تم نقلها إلى منتجاتنا ، إلخ
إذا احتفظت به إلى - ستكون أيضًا معلومات أكثر مما قد تتعامل معه. إذا أمكنك نقلها إلى مجموعة أصغر ، بحيث تحصل على بضع مئات من الأحداث يوميًا ، فمن الواضح أنها أقل بكثير. لذلك ، في بعض النواحي ، السماء هي الحد الأقصى. إذا قمت بتشغيل جميع الإعدادات على جميع عمليات المراقبة لكل شيء ، فعندئذ نعم ، سيكون تحقيق أداء بنسبة 50 في المائة. ولكن إذا كنت ستقلبها إلى مستوى أكثر اعتدالًا ، فمعنى ذلك ، ربما سأقلب 10 في المائة؟ إنها حقًا واحدة من تلك الأشياء التي سوف تعتمد بشكل كبير على عبء عملك.
إريك كافانا: نعم ، صحيح. هناك سؤال آخر حول الأجهزة. ثم ، هناك موردو أجهزة يدخلون اللعبة ويتعاونون حقًا مع بائعي البرامج وقد أجبت من خلال نافذة الأسئلة والأجوبة. أعرف حالة واحدة معينة ، وهي أن Cloudera تعمل مع Intel حيث قامت Intel باستثمار ضخم فيها ، وكان جزء من حساب التفاضل والتكامل هو أن Cloudera ستتمكن من الوصول مبكرًا إلى تصميم الرقاقات ، وبالتالي تكون قادرة على جعل الأمان في مستوى الشريحة الخاص بـ الهندسة المعمارية ، وهي مؤثرة جدا. لكن مع ذلك ، إنه شيء سيصل إلى هناك ، وما زال يمكن استغلاله من قبل الجانبين. هل تعرف أي اتجاهات أو أي اتجاهات لبائعي الأجهزة للتعاون مع بائعي البرامج على بروتوكول الأمان؟
فيكي هارب: نعم ، في الواقع ، أعتقد أن Microsoft تعاونت من أجل الحصول على بعض ، مثل ، مساحة الذاكرة لبعض أعمال التشفير تحدث فعليًا على شرائح منفصلة على لوحات رئيسية منفصلة عن ذاكرتك الرئيسية ، بحيث من تلك الأشياء مفصولة جسديا. وأعتقد أن هذا في الواقع كان شيئًا جاء من شركة Microsoft فيما يتعلق بالخروج إلى البائعين ليقولوا: "هل يمكننا التوصل إلى طريقة لجعل ذلك ، في الأساس ذاكرة لا يمكن معالجتها ، لا يمكنني الوصول إلى تجاوز سعة المخزن المؤقت إلى هذه الذاكرة ، لأنها ليست موجودة ، بمعنى ما ، لذلك أعرف أن بعضًا من ذلك يحدث. "
إريك كافانا: نعم.
فيكي هارب: سيكون من الواضح أن البائعين الكبار حقًا ، على الأرجح.
إريك كافانا: نعم. أنا فضولي أن أراقب ذلك ، وربما روبن ، إذا كان لديك ثانية سريعة ، سأكون فضولي لمعرفة خبرتك على مر السنين ، لأنه مرة أخرى ، من حيث الأجهزة ، من حيث علم المواد الفعلي الذي يذهب إلى ما تقوم بتجميعه من جانب البائع ، يمكن أن تنتقل هذه المعلومات إلى كلا الجانبين ، ومن الناحية النظرية نذهب إلى كلا الجانبين بسرعة إلى حد ما ، فهل هناك طريقة لاستخدام الجهاز بعناية أكبر ، من منظور تصميم لتعزيز الأمان؟ ماذا تعتقد؟ روبن ، هل أنت كتم؟
روبن بلور: نعم ، نعم. أنا آسف ، أنا هنا ؛ أنا مجرد التفكير في السؤال. لكي أكون أمينًا ، ليس لدي رأي ، إنه مجال لم أكن قد نظرت إليه بتعمق كبير ، لذلك أنا من النوع ، كما تعلمون ، يمكنني أن أبتكر رأيًا ، لكنني لا أعرف حقًا. أفضل أن تكون الأشياء آمنة في البرامج ، إنها الطريقة التي ألعب بها بشكل أساسي.
إريك كافانا: نعم. حسنًا ، أيها الناس ، لقد احترقنا لمدة ساعة ونتغير هنا. شكراً جزيلاً لـ Vicky Harp على وقتها واهتمامها - طوال وقتك واهتمامك ؛ نحن نقدر لك تظهر لهذه الأشياء. انها صفقة كبيرة؛ لن يزول قريباً. إنها لعبة القط والفأر التي ستستمر. ونحن نشعر بالامتنان لأن بعض الشركات موجودة هناك ، وتركز على تمكين الأمن ، ولكن حتى فيكي ألمحت وتحدثت قليلاً في عرضها التقديمي ، في نهاية اليوم ، فإن الأشخاص في المؤسسات هم الذين يحتاجون إلى التفكير بعناية فائقة حول هذه الهجمات الخداعية ، هذا النوع من الهندسة الاجتماعية ، والتمسك بأجهزة الكمبيوتر المحمولة الخاصة بك - لا تتركها في المقهى! قم بتغيير كلمة المرور الخاصة بك ، وقم بالأساسيات ، وستحصل على 80 بالمائة من الطريق إلى هناك.
لذلك ، مع هذا ، أيها الناس ، سنقدم لك وداعًا ، شكرًا لك مرة أخرى على وقتك واهتمامك. سنلحق بك في المرة القادمة ، اعتني. مع السلامة.
فيكي هارب: وداعا ، شكرا لك.
