بواسطة Techopedia Staff ، 27 أكتوبر 2016
الوجبات الجاهزة: يناقش المضيف إريك كافاناغ أمن قاعدة البيانات مع روبن بلور وديز بلانشفيلد وإيجناسيو رودريغيز من المعهد.
أنت لم تسجل الدخول حاليًا. يرجى تسجيل الدخول أو التسجيل لمشاهدة الفيديو.
إريك كافانا: مرحبًا بكم مرة أخرى في شركة Hot Technologies. اسمي إريك كافانا ؛ سأكون مضيفك للبث على الويب اليوم وهو موضوع ساخن ولن يكون موضوعًا ساخنًا على الإطلاق. هذا موضوع ساخن الآن بسبب ، بكل صراحة ، كل الانتهاكات التي نسمع عنها ويمكنني أن أؤكد لكم أنه لن يزول أبدًا. لذلك فإن الموضوع اليوم ، العنوان الدقيق للعرض الذي يجب أن أقوله ، هو "الوضع الطبيعي الجديد: التعامل مع واقع عالم غير آمن". هذا هو بالضبط ما نتعامل معه.
لدينا مضيفك ، مضيفك حقًا ، هناك. من بضع سنوات مضت ، ضع في اعتبارك أنه من المحتمل أن أقوم بتحديث صورتي ؛ كان ذلك عام 2010. الوقت الذباب. أرسل لي رسالة عبر البريد الإلكتروني إذا كنت تريد تقديم بعض الاقتراحات. لذلك هذا هو الشريحة القياسية "الساخنة" الخاصة بنا للتكنولوجيا الساخنة. الغرض كله من هذا العرض هو في الحقيقة تحديد مساحة معينة. لذلك نحن نتحدث اليوم عن الأمن ، من الواضح. نحن نأخذ زاوية مثيرة للاهتمام للغاية ، في الواقع ، مع أصدقائنا من IDERA.
وسوف أشير إلى أنك ، كأعضاء جمهورنا ، تلعب دورًا مهمًا في البرنامج. من فضلك لا تخجل. أرسل إلينا سؤالًا في أي وقت وسنضعه في قائمة الانتظار للحصول على سؤال وجواب إذا كان لدينا وقت كافٍ لذلك. لدينا ثلاثة أشخاص على الإنترنت اليوم ، وهم الدكتور روبن بلور وديز بلانشفيلد وإيجناسيو رودريغيز ، الذين يتصلون من مكان غير معلوم. أولاً وقبل كل شيء ، روبن ، أنت المقدم الأول. سوف أعطيك المفاتيح. خذه بعيدا.
الدكتور روبن بلور: حسنًا ، شكرًا على ذلك ، إريك. تأمين قاعدة البيانات - أفترض أنه يمكننا القول أن احتمالية أن تكون البيانات الأكثر قيمة التي ترأسها أي شركة بالفعل موجودة في قاعدة بيانات. إذن هناك سلسلة كاملة من الأشياء الأمنية التي يمكن أن نتحدث عنها. لكن ما اعتقدت أنني أفعله هو الحديث حول موضوع تأمين قاعدة البيانات. لا أريد أخذ أي شيء بعيدًا عن العرض التقديمي الذي سيعطيه Ignacio.
لذلك دعونا نبدأ ، من السهل التفكير في أمان البيانات كهدف ثابت ، لكنه ليس كذلك. إنه هدف متحرك. وهذا أمر مهم لفهمه بمعنى أن بيئات تكنولوجيا المعلومات الخاصة بمعظم الناس ، وخاصة بيئات تكنولوجيا المعلومات الخاصة بالشركة الكبيرة ، تتغير دائمًا. ولأنهم يتغيرون طوال الوقت ، فإن سطح الهجوم ، والمناطق التي يمكن للشخص أن يحاولها ، بطريقة أو بأخرى ، إما من الداخل أو من الخارج ، من أجل اختراق أمن البيانات ، تتغير طوال الوقت. وعندما تفعل شيئًا ما ، تقوم بترقية قاعدة بيانات ، ليس لديك أي فكرة عما إذا كنت قد أنشأت للتو ، من خلال القيام بذلك ، نوعًا من الضعف بالنسبة لك. لكنك لست على دراية ولن تعرف أبدًا حتى يحدث شيء رديء.
هناك لمحة موجزة عن أمن البيانات. بادئ ذي بدء ، سرقة البيانات ليست جديدة والبيانات القيمة مستهدفة. من السهل عادةً أن تحدد لمنظمة ما البيانات التي يحتاجون إليها لتوفير أكبر قدر من الحماية. الحقيقة الغريبة هي أن الأول ، أو ما يمكن أن ندعي أنه أول كمبيوتر ، تم بناؤه من قبل المخابرات البريطانية خلال الحرب العالمية الثانية مع غرض واحد في الاعتبار ، وكان ذلك لسرقة البيانات من الاتصالات الألمانية.
لذلك كانت سرقة البيانات جزءًا من صناعة تكنولوجيا المعلومات إلى حد كبير منذ بدايتها. أصبح أكثر خطورة مع ولادة الإنترنت. كنت أبحث في سجل لعدد من خروقات البيانات التي تحدث سنة بعد سنة بعد سنة. وقد ارتفع العدد فوق 100 بحلول عام 2005 ، ومنذ ذلك الحين أصبح الوضع يزداد سوءًا كل عام.
كميات أكبر من البيانات التي يتم سرقتها وعدد أكبر من المتسللين تحدث. وتلك هي الخارقة التي يتم الإبلاغ عنها. يوجد عدد كبير جدًا من الحوادث التي تحدث فيها الشركة عن أي شيء مطلقًا لأنه لا يوجد ما يجبرها على قول أي شيء. لذلك يبقي خرق البيانات هادئة. هناك العديد من اللاعبين في أعمال القرصنة: الحكومات والشركات ومجموعات الهاكرز والأفراد.
هناك شيء واحد أعتقد أنه من المثير للاهتمام ذكره ، عندما ذهبت إلى موسكو ، أعتقد أنه في وقت ما قبل حوالي أربع سنوات ، كان مؤتمرا للبرمجيات في موسكو ، كنت أتحدث مع صحفي متخصص في مجال القرصنة على البيانات. وادعى - وأنا متأكد من أنه على صواب ، لكنني لا أعرف ذلك بخلاف أنه الشخص الوحيد الذي ذكره لي على الإطلاق ، ولكن - هناك شركة روسية تدعى شبكة الأعمال الروسية ، من المحتمل أن تكون روسية اسم ولكن أعتقد أن هذه هي الترجمة الإنجليزية منه ، وهذا هو في الواقع التعاقد لاختراق.
لذلك إذا كنت مؤسسة كبيرة في أي مكان في العالم وتريد أن تفعل شيئًا ما لإلحاق الضرر بمنافسيك ، فيمكنك توظيف هؤلاء الأشخاص. وإذا كنت توظف هؤلاء الأشخاص ، فإنك تحصل على صدق معقول فيما يتعلق بمن كان وراء الاختراق. لأنه إذا تم اكتشافه على الإطلاق من يقف وراء الاختراق ، فسوف يشير إلى أنه من المحتمل أنه شخص في روسيا قام بذلك. ولن يبدو الأمر كما لو كنت تحاول إلحاق الضرر بمنافس. وأعتقد أن شبكة الأعمال الروسية قد تم تعيينها بالفعل من قبل الحكومات للقيام بأشياء مثل اختراق البنوك لمحاولة اكتشاف كيفية تحرك أموال الإرهاب. ويتم ذلك مع إنكار معقول من قبل الحكومات التي لن تعترف أبداً أنها فعلت ذلك بالفعل.
تكنولوجيا الهجوم والدفاع تتطور. منذ زمن طويل اعتدت الذهاب إلى نادي الفوضى. كان موقعًا في ألمانيا حيث يمكنك التسجيل ويمكنك متابعة محادثات مختلف الأشخاص ورؤية ما هو متاح. وفعلت ذلك عندما كنت أبحث عن تقنية الأمان ، أفكر في عام 2005. وفعلت ذلك فقط لمعرفة ما كان يحدث في ذلك الوقت ، والشيء الذي أدهشني هو عدد الفيروسات ، حيث كان نظامًا مفتوح المصدر بشكل أساسي كنت أفعل ، وكان الأشخاص الذين كتبوا فيروسات أو فيروسات محسّنة يقومون فقط بلصق الشفرة هناك ليستخدمها أي شخص. وقد حدث لي في ذلك الوقت أن المتسللين يمكن أن يكونوا أذكياء للغاية ، ولكن هناك الكثير من المتسللين الذين ليسوا أذكياء بالضرورة على الإطلاق ، لكنهم يستخدمون أدوات ذكية. وبعض هذه الأدوات ذكية بشكل ملحوظ.
والنقطة الأخيرة هنا: على الشركات واجب العناية ببياناتها ، سواء كانت تملكها أم لا. وأعتقد أن هذا أصبح أكثر فأكثر إدراكًا مما كان عليه في السابق. وقد أصبح الأمر أكثر فأكثر ، دعنا نقول ، إنه غالي على الأعمال التجارية أن تخضع لعملية اختراق. حول المتسللين ، يمكن أن يكونوا موجودين في أي مكان ، وربما يصعب تقديمهم إلى العدالة حتى لو تم التعرف عليهم بشكل صحيح. كثير منهم ماهرة جدا. موارد كبيرة ، لديهم شبكات روبوت في كل مكان. يعتقد أن هجوم DDoS الذي حدث مؤخرًا جاء من أكثر من مليار جهاز. لا أعرف ما إذا كان هذا صحيحًا أو ما إذا كان هذا مجرد مراسل يستخدم رقمًا مستديرًا ، ولكن بالتأكيد تم استخدام عدد كبير من أجهزة الروبوت للقيام بهجوم على شبكة DNS. بعض الشركات المربحة ، هناك مجموعات حكومية ، هناك حرب اقتصادية ، هناك حرب إلكترونية ، كل شيء يحدث هناك ، وهذا غير مرجح ، أعتقد أننا كنا نقول في المقدمة ، من غير المرجح أن تنتهي.
الامتثال واللوائح - هناك عدد من الأشياء التي تحدث بالفعل. هناك الكثير من مبادرات الامتثال التي تعتمد على القطاع ، كما تعلمون - قطاع الأدوية أو القطاع المصرفي أو القطاع الصحي - قد يكون لديها مبادرات محددة يمكن للناس اتباعها ، وأنواع مختلفة من أفضل الممارسات. لكن هناك أيضًا العديد من اللوائح الرسمية التي ، نظرًا لأنها قانون ، توجد عقوبات عليها لأي شخص ينتهك القانون. أمثلة الولايات المتحدة هي HIPAA ، SOX ، FISMA ، FERPA ، GLBA. هناك بعض المعايير ، PCI-DSS هو المعيار لشركات البطاقات. يعتمد ISO / IEC 17799 على محاولة الحصول على معيار مشترك. هذه هي ملكية البيانات. تختلف اللوائح الوطنية من بلد إلى آخر ، حتى في أوروبا ، أو ربما ينبغي للمرء أن يقول ، خاصة في أوروبا حيث يكون الأمر محيرًا للغاية. وهناك إجمالي الناتج المحلي ، وهو قانون عالمي لحماية البيانات يتم التفاوض عليه حاليًا بين أوروبا والولايات المتحدة لمحاولة التوفيق في اللوائح لأن هناك الكثير ، بشكل شائع ، في الواقع ، دولي ، ومن ثم هناك خدمات سحابية قد لا تعتقد أن بياناتك دولية ، لكنها أصبحت عالمية بمجرد دخولك إلى السحابة ، لأنها انتقلت من بلدك. هذه هي مجموعة من اللوائح التي يتم التفاوض بشأنها ، بطريقة أو بأخرى ، للتعامل مع حماية البيانات. ويتعلق معظم ذلك ببيانات الفرد ، والتي تتضمن بالطبع جميع بيانات الهوية.
أشياء يجب التفكير فيها: نقاط ضعف قاعدة البيانات. هناك قائمة من الثغرات الأمنية المعروفة والمبلغة من قِبل بائعي قواعد البيانات عندما يتم اكتشافها وتصحيحها بأسرع ما يمكن ، لذلك هناك كل ذلك. هناك أشياء تتعلق بها من حيث تحديد البيانات الضعيفة. تم تنفيذ أحد أكبر الاختراقات نجاحًا على بيانات الدفع لشركة معالجة الدفع. بعد ذلك تم الاستيلاء عليها لأنها اضطرت إلى التصفية إذا لم يحدث ذلك ، لكن البيانات لم تُسرق من أي من قواعد البيانات التشغيلية. تمت سرقة البيانات من قاعدة بيانات الاختبار. لقد حدث أن المطورين أخذوا للتو مجموعة فرعية من البيانات التي كانت بيانات حقيقية واستخدموها ، دون أي حماية على الإطلاق ، في قاعدة بيانات الاختبار. تم اختراق قاعدة بيانات الاختبار وتم أخذ الكثير من التفاصيل المالية الشخصية الخاصة بالناس منها.
سياسة الأمن ، خاصة فيما يتعلق بالوصول إلى الأمان فيما يتعلق بقواعد البيانات ، من يمكنه القراءة ، ومن يمكنه الكتابة ، ومن يمكنه منح أذونات ، هل هناك أي طريقة يمكن لأي شخص التحايل على أي منها؟ ثم ، بالطبع ، هناك تشفير من قواعد البيانات تسمح بذلك. هناك تكلفة خرق الأمان. لا أعرف ما إذا كانت هذه ممارسة معتادة داخل المؤسسات ، لكنني أعرف أن بعضًا من كبار ضباط الأمن يحاولون ، على سبيل المثال ، تزويد المديرين التنفيذيين بفكرة عن تكلفة الخرق الأمني بالفعل قبل حدوثه بدلاً من بعده. وهم ، نوعًا ما ، بحاجة إلى القيام بذلك للتأكد من حصولهم على المبلغ المناسب من الميزانية حتى يتمكنوا من الدفاع عن المنظمة.
ثم سطح الهجوم. يبدو أن سطح الهجوم ينمو طوال الوقت. إنها سنة على سطح سطح الهجوم يبدو أنه ينمو. باختصار ، النطاق هو نقطة أخرى ، لكن أمان البيانات عادة ما يكون جزءًا من دور DBA. لكن أمن البيانات هو أيضا نشاط تعاوني. يجب أن يكون لديك ، إذا كنت تقوم بالأمان ، فعليك أن تكون لديك فكرة كاملة عن الحماية الأمنية للمنظمة ككل. ويجب أن تكون هناك سياسة للشركات في هذا الصدد. إذا لم تكن هناك سياسات خاصة بالشركات ، فسوف ينتهي بك الأمر إلى حلول مجزأة. كما تعلمون ، الشريط المطاطي والبلاستيك ، نوع من ، محاولات لوقف حدوث الأمن.
بعد قولي هذا ، أعتقد أنني سلمت إلى Dez الذي ربما سيقدم لك قصص حرب مختلفة.
إريك كافانا: خذها بعيدًا ، Dez.
ديز بلانشفيلد: شكرًا لك ، روبن. انها دائما عمل شاق لمتابعة. سأحضر هذا من الطرف الآخر من الطيف فقط ، على ما أعتقد ، يعطينا إحساسًا بحجم التحدي الذي تواجهه ولماذا يجب أن نفعل أكثر من مجرد الجلوس والاهتمام بهذا . التحدي الذي نراه الآن مع الحجم والكمية والحجم ، والسرعة التي تحدث بها هذه الأشياء ، هو أن الشيء الذي أسمعه في المكان الآن مع الكثير من CXOs ، وليس فقط مدراء تقنية المعلومات ، ولكن بالتأكيد مديرو المعلومات هم الذين يحضرون عندما تتوقف باك ، هو أنهم يعتبرون خرق البيانات ليصبح بسرعة هو المعيار. إنه شيء يتوقعون حدوثه تقريبًا. لذا فهم ينظرون إلى هذا من وجهة نظر ، "حسنًا ، حسنًا ، عندما يتم خرقنا - لا إذا - عندما يتم خرقنا ، فما الذي يتعين علينا فعله حيال ذلك؟" ثم تبدأ المحادثات من حولنا ، ما الذي يفعلونه في بيئات الحافة التقليدية وأجهزة التوجيه والمحولات والخوادم وكشف التسلل وفحص التسلل؟ ماذا يفعلون في النظم نفسها؟ ماذا يفعلون مع البيانات؟ ثم يعود كل ذلك إلى ما فعلوه بقواعد البيانات الخاصة بهم.
واسمحوا لي فقط أن أتطرق إلى بعض الأمثلة لبعض هذه الأشياء التي استحوذت على الكثير من خيال الناس ثم انتقلت إلى حد ما لتفتيتهم قليلاً. لقد سمعنا في الأخبار أن Yahoo - ربما يكون العدد الأكبر الذي سمعه الناس هو حوالي نصف مليون ، ولكن اتضح في الواقع أنه يشبه بشكل غير رسمي مليار شخص - لقد سمعت عددًا هائلاً من ثلاثة مليارات ، ولكن هذا ما يقرب من نصف سكان العالم لذلك أعتقد أن هذا مرتفع بعض الشيء. ولكن لقد تم التحقق من ذلك من عدد من القوم في الأماكن ذات الصلة الذين يعتقدون أن هناك ما يزيد قليلاً عن مليار سجل تم اختراقه من Yahoo. وهذا مجرد رقم محير للعقل. الآن بعض اللاعبين ينظرون ويفكرون ، حسنًا ، إنه مجرد حسابات بريد إلكتروني ، وليس صفقة كبيرة ، ولكن بعد ذلك ، تضيف حقيقة أن الكثير من حسابات بريد الويب هذه ، وعدد كبير من الفضوليين ، أعلى مما توقعت ، حسابات مدفوعة فعليًا. هذا هو المكان الذي يضع فيه الأشخاص تفاصيل بطاقة الائتمان الخاصة بهم ويدفعون مقابل إزالة الإعلانات ، لأنهم سئموا من هذه الإعلانات ، وبالتالي هم على استعداد لشراء خدمة بريد إلكتروني وتخزين سحابي لا تتعدى 4 دولارات أو 5 دولارات شهريًا ، وأنا واحد من هؤلاء ، ولقد حصلت على ذلك عبر ثلاثة موفرين مختلفين حيث أقوم بتوصيل بطاقتي الائتمانية.
إذن ، يكتسب التحدي مزيدًا من الاهتمام لأنه ليس مجرد شيء موجود كخلفية واحدة للقول: "حسنًا ، لقد فقدت Yahoo ، دعنا نقول ، بين 500 مليون و 1000 مليون حساب" ، 1000 مليون يجعلها يبدو كبيرًا للغاية ، وحسابات بريد الويب ، ولكن تفاصيل بطاقة الائتمان والاسم الأول والاسم الأخير وعنوان البريد الإلكتروني وتاريخ الميلاد وبطاقة الائتمان والرقم السري وكل ما تريد وكلمات المرور ، ثم تصبح مفهومًا أكثر إثارة للخوف. ومرة أخرى يقول لي الناس: "نعم ، ولكنها مجرد خدمة ويب ، إنها مجرد بريد إلكتروني ، لا صفقة كبيرة". ثم أقول ، "نعم ، حسنًا ، ربما تم استخدام حساب Yahoo في خدمات أموال Yahoo لشراء وبيع الأسهم. "ثم يصبح أكثر إثارة للاهتمام. وبينما تبدأ في التعمق فيه ، تدرك أنه ، حسنًا ، هذا في الواقع أكثر من مجرد أمهات وأبناء في المنزل ، والمراهقون ، بحسابات المراسلة ، وهذا في الحقيقة شيء يقوم به الأشخاص بمعاملات تجارية.
هذا هو واحد من نهاية الطيف. الطرف الآخر من الطيف هو أن مقدم خدمة صحية صغير جدًا في أستراليا ، كان لديه حوالي 1000 سجل مسروق. كانت وظيفة داخلية ، غادر شخص ما ، كانوا فضوليين فقط ، وخرجوا من الباب ، وفي هذه الحالة كان قرص مرن 3.5 بوصة. كان ذلك منذ فترة وجيزة - ولكن يمكنك معرفة عصر وسائل الإعلام - لكنهم كانوا على التكنولوجيا القديمة. لكن اتضح أن السبب وراء أخذهم للبيانات هو أنهم كانوا فضوليين لمعرفة من كان هناك. لأن لديهم الكثير من الناس في هذه المدينة الصغيرة ، التي كانت عاصمتنا الوطنية ، وكانوا سياسيين. وكانوا مهتمين بمن كان هناك وأين كانت حياتهم وكل هذه المعلومات. لذلك مع وجود خرق صغير جدًا للبيانات تم داخليًا ، كان من المفترض أن يكون عدد كبير جدًا من السياسيين في تفاصيل الحكومة الأسترالية خارج الجمهور.
لدينا طرفان مختلفان من الطيف هناك للنظر. الآن الحقيقة هي أن الحجم الهائل لهذه الأشياء مذهل تمامًا ولدي شريحة سنقفز إليها هنا بسرعة كبيرة جدًا. هناك موقعان على الويب يسردان جميع أنواع البيانات ، ولكن هذا الموقع بعينه هو من أخصائي أمن كان لديه موقع الويب حيث يمكنك الذهاب والبحث عن عنوان البريد الإلكتروني الخاص بك ، أو اسمك ، وسوف يعرض لك كل حادث من حوادث البيانات خرق على مدار الخمسة عشر عامًا الماضية أنه كان قادرًا على تثبيت يديه ، ثم تحميله في قاعدة بيانات والتحقق منه ، وسيخبرك بما إذا كنت مصابًا ، كما هو الحال. ولكن عندما تبدأ في النظر في بعض هذه الأرقام ولم يتم تحديث لقطة الشاشة هذه بأحدث إصدار له ، والذي يتضمن زوجين ، مثل Yahoo. ولكن مجرد التفكير في أنواع الخدمات هنا. لدينا ماي سبيس ، لدينا ينكدين ، أدوبي. Adobe مثيرة للاهتمام لأن الناس ينظرون ويفكرون ، حسناً ، ماذا يعني Adobe؟ معظمنا يقوم بتنزيل Adobe Reader من بعض الأشكال ، وقد اشترى الكثير منا منتجات Adobe ببطاقة ائتمان ، أي 152 مليون شخص.
الآن ، حسب وجهة نظر روبن سابقًا ، هذه أعداد كبيرة جدًا ، من السهل أن تطغى عليها. ماذا يحدث عندما يكون لديك 359 مليون حساب تم اختراقها؟ حسنا ، هناك بضعة أشياء. سلط روبن الضوء على حقيقة أن تلك البيانات موجودة دائمًا في قاعدة بيانات من بعض الأشكال. هذه هي الرسالة الحرجة هنا. لا أحد تقريبا على هذا الكوكب ، وأنا على علم به ، والذي يدير نظامًا من أي نوع ، لا يخزنه في قاعدة بيانات. ولكن المثير للاهتمام هو أن هناك ثلاثة أنواع مختلفة من البيانات في قاعدة البيانات تلك. هناك أشياء متعلقة بالأمان مثل أسماء المستخدمين وكلمات المرور ، والتي عادةً ما تكون مشفرة ، ولكن هناك دائمًا الكثير من الأمثلة التي لا تتعلق بها. هناك معلومات العميل الفعلية حول ملفهم الشخصي والبيانات التي يقومون بإنشائها سواء كان ذلك سجلاً صحيًا أو ما إذا كان بريدًا إلكترونيًا أو رسالة فورية. ثم هناك المنطق الفعلي المضمن ، لذلك يمكن تخزين الإجراءات ، وقد تكون مجموعة كاملة من القواعد ، إذا + + ثم + ثم. ودائما ما يكون هذا مجرد نص ASCII عالق في قاعدة البيانات ، قلة قليلة من الناس يجلسون هناك يفكرون ، "حسنًا ، هذه هي قواعد العمل ، هذه هي الطريقة التي يتم بها نقل بياناتنا والتحكم فيها ، يجب علينا تشفير هذا عندما يكون في حالة راحة ، وعندما يكون في الحركة ربما نقوم بفك تشفيرها ونحفظها في الذاكرة "، لكن من الأفضل أن تكون كذلك.
ولكن يعود إلى هذه النقطة الأساسية وهي أن كل هذه البيانات موجودة في قاعدة بيانات ذات شكل ما ، وفي أكثر الأحيان ، كان التركيز ، من الناحية التاريخية فقط ، على الموجهات والمحولات والخوادم وحتى التخزين ، وليس دائمًا في قاعدة البيانات في النهاية الخلفية. لأننا نعتقد أن لدينا حافة الشبكة المغطاة وأنها ، على غرار ما ، قديمة ، نوعا ما ، الذين يعيشون في قلعة وتضع خندق حولها وتأمل أن الأشرار لن تكون قادرة على السباحة. ولكن بعد ذلك فجأة صمم الأشرار كيفية صنع سلالم طويلة ورميهم فوق الخندق والصعود فوق الخندق وتسلق الجدران. وفجأة أصبح خندقك عديم الفائدة إلى حد كبير.
لذلك نحن الآن في السيناريو حيث المنظمات في وضع اللحاق بالركب في سباق. إنهم ينتشرون حرفيًا عبر جميع الأنظمة ، من وجهة نظري ، وبالتأكيد تجربتي ، حيث لا يقتصر الأمر دائمًا على حيدات الويب هذه ، كما نشير إليها في كثير من الأحيان ، وغالبًا ما تكون منظمات المؤسسات التقليدية التي يتم انتهاكها. وليس لديك الكثير من الخيال لمعرفة من هم. هناك مواقع ويب مثل واحد يسمى pastebin.net وإذا ذهبت إلى pastebin.net واكتتبت فقط في قائمة البريد الإلكتروني أو قائمة كلمات المرور ، فسوف ينتهي بك الأمر إلى مئات الآلاف من الإدخالات في اليوم الذي تتم إضافته حيث يسرد الأشخاص مجموعات بيانات مثال على ما يصل إلى ألف سجلات من الاسم الأول والاسم الأخير وتفاصيل بطاقة الائتمان واسم المستخدم وكلمة المرور وكلمات المرور المشفرة ، بالمناسبة. حيث يمكن للناس الحصول على تلك القائمة ، والذهاب والتحقق من ثلاثة أو أربعة منهم وقرر ذلك ، نعم ، أرغب في شراء تلك القائمة ، وعادة ما يكون هناك شكل من أشكال الآلية التي توفر نوعًا ما من بوابة مجهولة للشخص الذي يبيع البيانات.
ما يثير الاهتمام الآن هو أنه بمجرد أن يدرك رجل الأعمال التابع أنه بإمكانه القيام بذلك ، فلن يستغرق الأمر الكثير من الخيال لإدراك أنك إذا أنفقت 1000 دولار أمريكي لشراء واحدة من هذه القوائم ، فما أول شيء تفعله به؟ أنت لا تذهب وتحاول تتبع الحسابات ، يمكنك وضع نسخة منها مرة أخرى على pastbin.net وتبيع نسختين لكل 1000 دولار وتحقق ربحًا قدره 1000 دولار. وهؤلاء هم الأطفال الذين يفعلون هذا. هناك بعض المنظمات المهنية الكبيرة للغاية حول العالم التي تفعل هذا من أجل لقمة العيش. هناك حتى الدول التي تهاجم الدول الأخرى. كما تعلمون ، هناك الكثير من الحديث حول مهاجمة أمريكا للصين ، والصين مهاجمة أمريكا ، الأمر ليس بهذه البساطة ، ولكن هناك بالتأكيد منظمات حكومية تنتهك الأنظمة التي تعمل دائمًا على قواعد البيانات. إنها ليست مجرد حالة منظمات صغيرة ، بل هي أيضًا بلدان مقابل دول. إنه يعيدنا إلى هذه المسألة ، حيث يتم تخزين البيانات؟ إنه في قاعدة بيانات. ما الضوابط والآليات الموجودة هناك؟ أو لا يتم تشفيرها دائمًا ، وإذا كانت مشفرة ، فهي ليست دائمًا كل البيانات ، وربما تكون مجرد كلمة المرور المملحة والمشفرة.
عند الالتفاف حول هذا ، لدينا مجموعة من التحديات مع ما يوجد في تلك البيانات وكيف نوفر الوصول إلى البيانات والتوافق مع SOX. لذلك إذا كنت تفكر في إدارة الثروات أو الخدمات المصرفية ، فلديك منظمات تقلق بشأن تحدي الاعتماد ؛ لديك منظمات تقلق بشأن الالتزام في مساحة الشركة ؛ لديك الامتثال الحكومي والمتطلبات التنظيمية ؛ لديك سيناريوهات الآن حيث لدينا قواعد بيانات محلية ؛ لدينا قواعد بيانات في مراكز بيانات الجهات الخارجية ؛ لدينا قواعد بيانات موجودة في البيئات السحابية ، لذلك لا توجد دائمًا البيئات السحابية في البلد. وهكذا أصبح هذا تحديًا أكبر وأكبر ، ليس فقط من وجهة نظر الأمان المطلق ، دعونا لا نتعرض للاختراق ، ولكن أيضًا ، كيف يمكننا تلبية جميع مستويات الامتثال المختلفة؟ لا يقتصر الأمر على معايير HIPAA و ISO ، ولكن هناك حرفيا العشرات والعشرات منها على مستوى الدولة والمستوى الوطني والعالمي الذي يعبر الحدود. إذا كنت تتعامل مع أستراليا ، فلا يمكنك نقل البيانات الحكومية. لا يمكن لأي بيانات خاصة أسترالية مغادرة الأمة. إذا كنت في ألمانيا فهذا أكثر صرامة. وأنا أعلم أن أمريكا تتحرك بسرعة كبيرة في هذا لمجموعة من الأسباب كذلك.
لكن هذا يعيدني مرة أخرى إلى هذا التحدي بأكمله وهو كيف تعرف ما يحدث في قاعدة البيانات الخاصة بك ، وكيف تراقبها ، وكيف تخبر من يفعل ماذا في قاعدة البيانات ، ومن لديه آراء في مختلف الجداول والصفوف والأعمدة والحقول ، متى يقرؤونها ، كم مرة يقرؤونها ومن يتتبعها؟ وأعتقد أن هذا يقودني إلى نقطتي الأخيرة قبل تسليمها لضيفنا اليوم الذي سيساعدنا على التحدث عن كيفية حل هذه المشكلة. لكنني أريد أن أتركنا مع هذا الفكر ، وهو أن الكثير من التركيز ينصب على التكلفة التي تتحملها الشركة والتكلفة التي تتحملها المؤسسة. ونحن لن نغطي هذه النقطة بالتفصيل اليوم ، لكنني أريد فقط أن أتركها في أذهاننا للتفكير وهذا هو أن هناك ما يقرب من 135 دولارًا أمريكيًا و 585 دولارًا أمريكيًا لكل سجل لتنظيفه بعد حدوث كسر. لذا فإن الاستثمار الذي تقوم به في أمانك حول أجهزة التوجيه والمحولات والخوادم هو أمر جيد وجيد وجدران الحماية ، ولكن ما مقدار استثمارك في أمان قاعدة البيانات الخاصة بك؟
لكنه اقتصاد مزيف ، وعندما حدث اختراق لـ Yahoo مؤخرًا ، ولديّ سلطة جيدة ، فهو عبارة عن مليار حساب ، وليس 500 مليون. عندما اشترت Verizon المؤسسة مقابل 4.3 مليار ، بمجرد حدوث الخرق ، طلبوا استرداد مليار دولار ، أو خصمًا. الآن إذا قمت بالرياضيات وتقول إن هناك ما يقرب من مليار سجل تم خرقها ، وهو خصم بقيمة مليار دولار ، فإن تقدير 135 إلى 535 دولار لتنظيف سجل يصبح الآن 1 دولار. وهو ، مرة أخرى ، هو هزلية. لا يكلف دولار واحد لتنظيف مليار سجل. عند $ 1 لكل سجل لتنظيف مليار سجل لانتهاك هذا الحجم. لا يمكنك حتى وضع بيان صحفي لهذا النوع من التكلفة. ولذا فإننا نركز دائمًا على التحديات الداخلية.
لكن أحد الأشياء ، كما أعتقد ، ويجب علينا أن نأخذ هذا الأمر على محمل الجد على مستوى قاعدة البيانات ، وهذا هو السبب في أن هذا موضوع مهم للغاية بالنسبة لنا للحديث عنه ، وهذا هو أننا لا نتحدث أبداً عن الإنسان رسوم. ما هي الخسائر البشرية التي نتحملها على هذا؟ وسأخذ مثالا واحدا قبل أن أنهي بسرعة. LinkedIn: في عام 2012 ، تم اختراق نظام LinkedIn. كان هناك عدد من المتجهات ولن أخوض في ذلك. وسرقت مئات الملايين من الحسابات. يقول الناس حوالي 160 مليون ونيف ، لكنه في الواقع عدد أكبر بكثير ، يمكن أن يصل إلى حوالي 240 مليون. ولكن لم يتم الإعلان عن هذا الخرق حتى وقت مبكر من هذا العام. هذه أربع سنوات يوجد بها مئات الملايين من سجلات الأشخاص. الآن ، كان هناك بعض الأشخاص الذين يدفعون مقابل الخدمات باستخدام بطاقات الائتمان وبعض الأشخاص الذين لديهم حسابات مجانية. لكن موقع LinkedIn مثير للاهتمام ، لأنه لم يتمكن فقط من الوصول إلى تفاصيل حسابك في حالة انتهاكك ، ولكنهم أيضًا تمكنوا من الوصول إلى جميع معلومات ملفك الشخصي. لذلك ، من كنت متصلاً بجميع الاتصالات التي لديك ، وأنواع الوظائف التي كانت لديهم وأنواع المهارات التي كانت لديهم وطول مدة عملهم في الشركات وكل هذا النوع من المعلومات ، وتفاصيل الاتصال بهم.
لذا فكر في التحدي الذي نواجهه في تأمين البيانات في قواعد البيانات هذه ، وتأمين وإدارة أنظمة قواعد البيانات نفسها ، والتدفق على التأثير ، والخسارة البشرية لتلك البيانات الموجودة هناك لمدة أربع سنوات. واحتمال أن يحضر شخص ما لقضاء عطلة في مكان ما في جنوب شرق آسيا وأن لديه بياناته هناك منذ أربع سنوات. وقد يكون شخص ما قد اشترى سيارة أو حصل على قرض منزل أو اشترى عشرة هواتف على مدار العام على بطاقات الائتمان ، حيث أنشأوا معرّفًا مزيفًا على تلك البيانات التي كانت موجودة هناك لمدة أربع سنوات - لأنه حتى بيانات LinkedIn أعطاك معلومات كافية ل إنشاء حساب مصرفي ومعرف مزيف - وتحصل على متن الطائرة ، وتذهب لقضاء عطلة ، وتهبط وتلقي بالسجن. ولماذا ألقيت في السجن؟ حسنًا ، لأنك سُرقت من هويتك. قام شخص ما بإنشاء معرف مزيف وتصرف مثلك ومئات الآلاف من الدولارات وكانوا يفعلون ذلك أربع سنوات وأنت لم تعرف حتى ذلك. لأنه خارج هناك ، لقد حدث ما حدث للتو.
لذلك أعتقد أنه يقودنا إلى هذا التحدي الأساسي المتمثل في كيف نعرف ما يحدث في قواعد البيانات الخاصة بنا ، وكيف نتتبعها ، وكيف نراقبها؟ وأنا أتطلع إلى سماع كيف توصل أصدقاؤنا في IDERA إلى حل لمعالجة ذلك. ومع ذلك ، سأسلم.
إريك كافانا: حسناً ، إجناسيو ، الكلمة لك.
اجناسيو رودريغيز: حسنا. حسنا ، نرحب بالجميع. اسمي Ignacio Rodriguez ، المعروف باسم Iggy. أنا مع IDERA ومدير للمنتجات الأمنية. موضوعات جيدة حقًا قمنا بتغطيتها للتو ، وعلينا حقًا القلق بشأن انتهاكات البيانات. نحتاج إلى سياسات أمان متشددة ، نحتاج إلى تحديد نقاط الضعف وتقييم مستويات الأمان والتحكم في أذونات المستخدم والتحكم في أمان الخادم والامتثال لعمليات التدقيق. لقد قمت بالتدقيق في تاريخي السابق ، معظمه من جانب Oracle. لقد قمت ببعضها على SQL Server وكنت أقوم باستخدام الأدوات أو البرامج النصية المحلية بشكل أساسي ، والتي كانت رائعة ولكن عليك إنشاء مستودع وتأكد من أن المخزون آمن ، مع استمرار الحاجة إلى الحفاظ على البرامج النصية مع التغييرات من المراجعين ماذا لديك.
لذلك ، في الأدوات ، إذا كنت أعرف أن IDERA كانت موجودة ولديّ أداة ، كنت سأشتريها على الأرجح. ولكن على أي حال ، سنتحدث عن تأمين. إنه أحد منتجاتنا الموجودة في خط منتجاتنا الأمنية وما نفعله بشكل أساسي هو أننا ننظر إلى سياسات الأمان ونقوم بتخطيطها وفقًا للإرشادات التنظيمية. يمكنك عرض محفوظات كاملة لإعدادات SQL Server ويمكنك أيضًا إجراء أساس أساسي لتلك الإعدادات ثم مقارنة التغييرات المستقبلية. ستتمكن من إنشاء لقطة ، وهي أساس أساسي لإعداداتك ، ومن ثم يمكنك تتبع ما إذا تم تغيير أي من هذه الأشياء وأيضًا تنبيهك إذا تم تغييرها.
أحد الأشياء التي نقوم بها بشكل جيد هو منع المخاطر الأمنية والانتهاكات. تمنحك بطاقة تقرير الأمان عرضًا لأهم نقاط الضعف الأمنية على الخوادم ، ثم يتم تصنيف كل فحص أمني على أنه خطر مرتفع أو متوسط أو منخفض. الآن ، في هذه الفئات أو عمليات التحقق من الأمان ، كل هذه يمكن تعديلها. دعنا نقول إذا كان لديك بعض الضوابط واستخدام أحد القوالب التي لدينا وقررت ، حسناً ، تشير عناصر التحكم الخاصة بنا حقًا إلى أن مشكلة عدم الحصانة هذه ليست عالية بل متوسطة ، أو بالعكس. قد يكون لديك بعض تم تصنيفها على أنها متوسطة ولكن في مؤسستك ، عناصر التحكم التي تريد تصنيفها عليها ، أو تعتبرها عالية ، جميع هذه الإعدادات قابلة للتكوين من قبل المستخدم.
هناك مسألة هامة أخرى نحتاج إلى النظر فيها وهي تحديد مواطن الضعف. فهم من لديه حق الوصول إلى ما وتحديد كل حقوق المستخدم الفعالة عبر جميع كائنات SQL Server. باستخدام الأداة ، سنكون قادرين على الاطلاع على الحقوق عبر جميع كائنات SQL Server وسنرى لقطة لذلك هنا قريبًا. نقوم أيضًا بالإبلاغ عن أذونات المستخدم والمجموعة والدور وتحليلها. إحدى الميزات الأخرى هي تقديم تقارير مفصلة حول مخاطر الأمان. لدينا تقارير خارج عن المكوّنات ويحتوي على معلمات مرنة لك لإنشاء أنواع التقارير وعرض البيانات التي يطلبها المراجعون ومسؤولو الأمن والمديرون.
يمكننا أيضًا مقارنة تغييرات الأمان والمخاطر والتكوين بمرور الوقت ، كما ذكرت. وتلك هي مع لقطات. ويمكن تكوين هذه اللقطات بقدر ما تريد القيام بها - شهريًا ، ربع سنوي ، سنويًا - يمكن جدولتها داخل الأداة. ومرة أخرى ، يمكنك إجراء مقارنات لمعرفة ما الذي تغير وما هو جيد بالنسبة لك إذا كان لديك انتهاك يمكنك إنشاء لقطة بعد تصحيحه ، والقيام بمقارنة ، وستشاهد وجود مستوى عالٍ المخاطرة المرتبطة باللقطة السابقة وبعد ذلك التقرير ، سترى في الواقع في اللقطة التالية بعد أن تم تصحيح أنه لم يعد مشكلة. إنها أداة تدقيق جيدة يمكنك تقديمها إلى المدقق ، وتقرير يمكنك تقديمه إلى المدققين ويقول: "انظر ، لقد واجهنا هذا الخطر ، وقمنا بتخفيفه ، والآن لم يعد هناك خطر". ومرة أخرى ، أنا المذكورة مع لقطات يمكنك تنبيه عند تغيير التكوين ، وإذا تم تغيير التكوين ، والكشف عنها ، والتي تشكل خطرا جديدا ، سيتم إعلامك بذلك أيضا.
لدينا بعض الأسئلة حول SQL Server Architecture باستخدام الآمنة ، وأريد إجراء تصحيح للشريحة هنا حيث تقول "خدمة التحصيل". ليس لدينا أي خدمات ، كان ينبغي أن يكون "خادم الإدارة والتحصيل". "لدينا وحدة التحكم الخاصة بنا ومن ثم خادم الإدارة والتحصيل الخاص بنا ، ولدينا التقاط بدون وكيل والذي سيذهب إلى قواعد البيانات التي تم تسجيلها وجمع البيانات من خلال الوظائف. ولدينا مستودع خادم SQL ونعمل مع خدمات تقارير خادم SQL من أجل جدولة التقارير وإنشاء تقارير مخصصة كذلك. الآن على بطاقة تقرير الأمان ، هذه هي الشاشة الأولى التي سترى عند بدء تشغيل SQL Secure. سترى بسهولة العناصر المهمة التي لديك والتي اكتشفتها. ومرة أخرى ، لدينا الارتفاعات والوسطى والقيعان. ثم لدينا أيضًا السياسات التي يتم تنفيذها مع عمليات التحقق الأمني المحددة. لدينا قالب HIPAA. لدينا قوالب أمان IDERA المستوى 1 و 2 و 3 ؛ لدينا إرشادات PCI. هذه جميع القوالب التي يمكنك استخدامها ، ومرة أخرى ، يمكنك إنشاء القالب الخاص بك ، استنادًا إلى عناصر التحكم الخاصة بك أيضًا. ومرة أخرى ، إنها قابلة للتعديل. يمكنك إنشاء الخاصة بك. يمكن استخدام أي من القوالب الموجودة كخط أساسي ، ثم يمكنك تعديل القوالب التي تريدها.
واحدة من الأشياء الجميلة القيام به هو معرفة من لديه أذونات. ومع هذه الشاشة ، سنكون قادرين على رؤية تسجيلات SQL Server الموجودة على المؤسسة وستكون قادرًا على عرض جميع الحقوق والأذونات المعينة والفعالة في قاعدة بيانات الخادم في مستوى الكائن. نحن نفعل ذلك هنا. ستتمكن من تحديد قواعد البيانات أو الخوادم مرة أخرى ، ومن ثم يمكنك سحب تقرير أذونات SQL Server. قادرة على معرفة من الذي لديه حق الوصول إلى ما. ميزة أخرى لطيفة هي أنك ستتمكن من مقارنة إعدادات الأمان. دعنا نفترض أن لديك إعدادات قياسية يلزم ضبطها في مؤسستك. ستتمكن بعد ذلك من إجراء مقارنة لجميع الخوادم الخاصة بك ومعرفة الإعدادات التي تم ضبطها عبر الخوادم الأخرى في مؤسستك.
مرة أخرى ، قوالب السياسة ، هذه هي بعض القوالب التي لدينا. أنت في الأساس ، مرة أخرى ، استخدم واحدًا من هؤلاء ، قم بإنشاء الخاصة بك. يمكنك إنشاء سياستك الخاصة ، كما هو موضح هنا. استخدم أحد القوالب ويمكنك تعديلها حسب الحاجة. نحن أيضًا قادرون على عرض الحقوق الفعالة لـ SQL Server. سيؤدي هذا إلى التحقق وإثبات تعيين الأذونات بشكل صحيح للمستخدمين والأدوار. مرة أخرى ، يمكنك الخروج إلى هناك والنظر والتحقق من تعيين هذا الإذن بشكل صحيح للمستخدمين والأدوار. ثم باستخدام حقوق الوصول إلى كائن SQL Server ، يمكنك بعد ذلك استعراض شجرة كائن SQL Server وتحليلها من مستوى الخادم إلى أدوار ونقاط النهاية على مستوى الكائن. ويمكنك على الفور عرض الأذونات الموروثة المعينة والفعالة والخصائص المتعلقة بالأمان على مستوى الكائن. يمنحك هذا عرضًا جيدًا لعمليات الوصول التي لديك على كائنات قاعدة البيانات الخاصة بك والذي يمكنه الوصول إليها.
لدينا ، مرة أخرى ، تقاريرنا التي لدينا. إنها تقارير معلّبة ، ولدينا العديد من التقارير التي يمكنك تحديدها من أجل إعداد التقارير. والكثير من هذه يمكن تخصيصها أو يمكنك الحصول على تقارير العملاء الخاصة بك واستخدام ذلك جنبا إلى جنب مع خدمات التقارير وتكون قادرة على إنشاء تقارير مخصصة الخاصة بك من هناك. الآن ، "مقارنات اللقطات" ، هذه ميزة رائعة ، على ما أعتقد ، حيث يمكنك الذهاب إلى هناك ويمكنك إجراء مقارنة بين اللقطات التي التقطتها ومعرفة ما إذا كان هناك أي اختلافات في الرقم. هل تمت إضافة أي كائنات ، هل كانت هناك أذونات قد تغيرت ، وأي شيء قد نتمكن من رؤية التغييرات التي تم إجراؤها بين اللقطات المختلفة. سوف ينظر بعض الأشخاص إلى هذه الأمور على مستوى شهري - سيقومون بعمل لقطة شهرية ثم يقومون بإجراء مقارنة كل شهر لمعرفة ما إذا كان أي شيء قد تغير. وإذا لم يكن هناك أي شيء من المفترض أنه قد تم تغييره ، وأي شيء ذهب إلى اجتماعات التحكم في التغيير ، وترى أنه قد تم تغيير بعض الأذونات ، فيمكنك العودة للبحث عن ما حدث. هذه ميزة جميلة هنا حيث يمكنك إجراء المقارنة ، مرة أخرى ، لكل شيء تم تدقيقه داخل اللقطة.
ثم مقارنة التقييم الخاص بك. هذه هي ميزة أخرى لطيفة لدينا حيث يمكنك الذهاب إلى هناك وإلقاء نظرة على التقييمات ومن ثم إجراء مقارنة معها ولاحظ أن المقارنة هنا لديها حساب SA لم يتم تعطيله في هذه اللقطة الأخيرة التي قمت بها - يتم تصحيح الآن. هذا شيء جميل حيث يمكنك إظهار أنه ، حسنًا ، لدينا بعض المخاطر ، تم تحديدها بواسطة الأداة ، والآن قمنا بتخفيف تلك المخاطر. ومرة أخرى ، يعد هذا تقريرًا جيدًا لإطلاع مراجعي الحسابات على أنه تم في الواقع تخفيف تلك المخاطر والعناية بها.
باختصار ، أمان قاعدة البيانات ، إنه أمر بالغ الأهمية ، وأعتقد في كثير من الأحيان أننا نبحث في الخروقات التي تأتي من مصادر خارجية وأحيانًا لا نولي اهتمامًا كبيرًا للانتهاكات الداخلية وهذا هو بعض الأشياء التي بحاجة الى انتبه ل. سيساعدك Secure هناك على التأكد من عدم وجود امتياز لا يلزم تخصيصه ، كما تعلم ، تأكد من ضبط كل هذه الأمانات بشكل صحيح على الحسابات. تأكد من أن حساباتك في SA لديها كلمات مرور. يتحقق أيضًا فيما يتعلق بمفاتيح التشفير ، هل تم تصديرها؟ فقط عدة أشياء مختلفة نتفحصها وسننبهك إلى حقيقة ما إذا كانت هناك مشكلة وما هو مستوى المشكلة. نحتاج إلى أداة ، والكثير من المحترفين يحتاجون إلى أدوات لإدارة أذونات الوصول إلى قاعدة البيانات ومراقبتها ، ونبحث في الواقع عن توفير قدرة واسعة للتحكم في أذونات قاعدة البيانات وتتبع أنشطة الوصول وتخفيف مخاطر الاختراق.
الآن جزء آخر من منتجاتنا الأمنية هو أن هناك WebEx تمت تغطيته وجزء من العرض التقديمي الذي تحدثنا عنه سابقًا كان عبارة عن بيانات. أنت تعرف من الذي يصل إلى ماذا ، وماذا لديك ، وهذه هي أداة إدارة توافق SQL. وهناك WebEx مسجّل على تلك الأداة وسيسمح لك بالفعل بمراقبة من الذي يصل إلى ما الجداول ، ما هي الأعمدة ، يمكنك تحديد الجداول التي تحتوي على أعمدة حساسة ، بقدر تاريخ الميلاد ، ومعلومات المريض ، وأنواع الجداول هذه ، و في الواقع معرفة من الذي لديه حق الوصول إلى تلك المعلومات وما إذا كان يتم الوصول إليها.
إريك كافانا: حسناً ، لذلك دعونا نتعمق في الأسئلة ، كما أعتقد ، هنا. ربما ، يا ديز ، سألقيه لك أولاً ، وروبن ، يتناغم مع ما تستطيع.
ديز بلانشفيلد: نعم ، لقد كنت أحاك لطرح سؤال من الشريحة الثانية والثالثة . ما حالة الاستخدام المعتادة التي تراها لهذه الأداة؟ من هم أكثر أنواع المستخدمين شيوعًا الذين يتبنون هذا ويضعونه موضع التنفيذ؟ وعلى خلفية ذلك ، نموذج الحالة النموذجي ، النوع ، كيف يتم ذلك؟ كيف يتم تنفيذها؟
إجناسيو رودريغيز: حسنًا ، حالة الاستخدام النموذجية التي لدينا هي DBAs الذين تم تكليفهم بمسؤولية التحكم في الوصول لقاعدة البيانات ، والذين يتأكدون من أن جميع الأذونات يتم تعيينها بالطريقة التي يحتاجون إليها ثم تتبعهم ومعاييرهم. في المكان. كما تعلمون ، يمكن لحسابات المستخدمين هذه الوصول فقط إلى هذه الجداول المعينة ، إلى آخره. وما يفعلونه به هو التأكد من أن تلك المعايير قد تم وضعها وأن تلك المعايير لم تتغير بمرور الوقت. وهذا أحد الأشياء الكبيرة التي يستخدمها الأشخاص هو تتبع وتحديد ما إذا كانت هناك تغييرات غير معروفة.
ديز بلانشفيلد: لأنهم المخيفون ، أليس كذلك؟ هل يمكن أن يكون لديك ، دعنا نقول ، وثيقة إستراتيجية ، لديك سياسات تدعم ذلك ، لديك امتثال وحكم أسفل ذلك ، وتتبع السياسات ، وتلتزم بالحكم وتتلقى الضوء الأخضر ثم فجأة بعد شهر ، يقوم شخص ما بإجراء تغيير ، ولسبب ما ، فإنه لا يخضع لعملية مراجعة التغيير نفسها أو عملية التغيير ، أو أيًا كان ، أو أن المشروع قد تم لتوه ولم يعلم أحد.
هل لديك أي أمثلة يمكنك مشاركتها - وأنا أعلم ، من الواضح أنها ليست شيئًا تشاركه دائمًا لأن العملاء يهتمون به قليلاً ، لذلك لا يتعين علينا بالضرورة تسمية الأسماء - ولكن أعطونا مثالًا على المكان الذي تتواجد فيه ربما تكون قد رأيت هذا في الواقع ، كما تعلمون ، فقد قامت إحدى المنظمات بوضع هذا في مكان دون إدراك ذلك ، ووجدوا شيئًا فقط وأدركوا ، "واو ، كان الأمر يستحق عشر مرات ، لقد وجدنا شيئًا لم ندركه". أي مثال حيث قام الناس بتنفيذ هذا ومن ثم اكتشفوا أن لديهم مشكلة أكبر أو مشكلة حقيقية أنهم لم يدركوا وجودهم ثم تمت إضافتهم على الفور في قائمة بطاقات عيد الميلاد؟
إجناسيو رودريغيز: حسنًا ، أعتقد أن أكبر شيء رأيناه أو أبلغنا عنه هو ما ذكرته للتو ، فيما يتعلق بالوصول إلى شخص ما. هناك مطورو ، وعندما قاموا بتطبيق الأداة ، لم يدركوا حقًا أن عدد X من هؤلاء المطورين كان لديه الكثير من الوصول إلى قاعدة البيانات ولديه إمكانية الوصول إلى كائنات معينة. وشيء آخر هو حسابات للقراءة فقط. كانت هناك بعض الحسابات للقراءة فقط التي لديهم ، وتأتي لمعرفة هذه الحسابات للقراءة فقط هي في الواقع ، وكان إدراج البيانات وحذف الامتيازات كذلك. هذا حيث رأينا بعض الفوائد للمستخدمين. الشيء الكبير ، مرة أخرى ، أننا سمعنا أن الناس يحبون ، هو أن يتمكنوا ، مرة أخرى ، من تعقب التغييرات والتأكد من أن لا شيء يعمهم.
ديز بلانشفيلد: كما أوضح روبن ، لديك سيناريوهات لا يفكر فيها الأشخاص كثيرًا ، أليس كذلك؟ عندما نتطلع إلى الأمام ، نفكر ، كما تعلمون ، إذا فعلنا كل شيء وفقًا للقواعد ، وأجد ذلك ، وأنا متأكد من أنك تراه جيدًا - أخبرني إذا كنت لا توافق عليه - تركز المنظمات على ذلك بشكل كبير على تطوير الإستراتيجية والسياسة والامتثال والحوكمة ومؤشرات الأداء الرئيسية وإعداد التقارير ، بحيث غالبًا ما يتم التركيز عليها ، فهم لا يفكرون في القيم المتطرفة. وكان لدى روبن مثال رائع حقًا سأسرقه منه - آسف روبن - ولكن المثال هو الوقت الآخر حيث توجد نسخة حية من قاعدة البيانات ، لقطة وتضعها في اختبار التطوير ، أليس كذلك؟ نحن ننفذ وننفذ اختبارات وننفذ UAT وننفذ تكامل الأنظمة وكل ذلك النوع من الأشياء ثم نقوم بعدد من اختبارات الامتثال الآن. غالبًا ما يشتمل اختبار UAT و SIT على مكون مطور للتوافق ، حيث نتأكد من أن كل شيء صحي وآمن ، ولكن ليس كل شخص يفعل ذلك. هذا المثال الذي قدمه روبن مع نسخة من نسخة حية من قاعدة البيانات وضعت في اختبار مع بيئة التطوير لمعرفة ما إذا كان لا يزال يعمل مع البيانات الحية. قلة قليلة من الشركات تجلس وتعتقد "هل يحدث هذا أم أنه ممكن؟" إنهم دائمًا ما يركزون على مواد الإنتاج. كيف تبدو رحلة التنفيذ؟ هل نتحدث عن أيام ، أسابيع ، أشهر؟ كيف يبدو النشر المنتظم لمؤسسة متوسطة الحجم؟
اجناسيو رودريغيز: أيام. أعني أنه حتى أيام ، إنه مجرد بضعة أيام. لقد قمنا للتو بإضافة ميزة حيث يمكننا تسجيل العديد من الخوادم. بدلاً من الاضطرار إلى الذهاب إلى هناك في الأداة ، والقول إن لديك 150 خادمًا ، كان عليك أن تدخل هناك بشكل فردي وتسجيل الخوادم - الآن ليس عليك القيام بذلك. هناك ملف CSV تقوم بإنشائه ونقوم بإزالته تلقائيًا ولا نحتفظ به هناك بسبب المخاوف الأمنية. ولكن هذا شيء آخر يتعين علينا مراعاته ، هو أنه سيكون لديك ملف CSV به اسم مستخدم / كلمة مرور.
ما نقوم به هو أننا تلقائيًا ، هل نقوم بحذفه مرة أخرى ، ولكن هذا خيار لديك. إذا كنت ترغب في الذهاب إلى هناك بشكل فردي وتسجيلهم ولا تريد المخاطرة بذلك ، يمكنك القيام بذلك. ولكن إذا كنت ترغب في استخدام ملف CSV ، فضعه في مكان آمن ، وأشر التطبيق إلى هذا الموقع ، وسيقوم بتشغيل ملف CSV ، ثم يتم تعيينه تلقائيًا لحذف هذا الملف بمجرد انتهائه. وسوف يذهب وتأكد والتحقق من إزالة الملف. أطول قطب في الرمال كان لدينا قدر التنفيذ كان تسجيل الخوادم الفعلية.
ديز بلانشفيلد: حسنًا. الآن تحدثت عن التقارير. هل يمكنك أن تعطينا المزيد من التفاصيل والبصيرة حول ما يأتي مُجمَّع مسبقًا قدر الإمكان ، كما أعتقد ، مكون الاكتشاف للنظر في ما يوجد فيه والإبلاغ عنه ، والحالة الحالية للأمة ، وما يأتي قبل مبني ومخبز مسبقًا بقدر التقارير حول الحالة الحالية للامتثال والأمن ، ثم ما مدى سهولة تمديدها؟ كيف نبني على هؤلاء؟
اجناسيو رودريغيز: حسنًا. بعض التقارير التي لدينا ، لدينا تقارير تتعامل مع خوادم مشتركة ، وفحص تسجيل الدخول ، ومرشحات جمع البيانات ، وسجل النشاط ، ثم تقارير تقييم المخاطر. وكذلك أي حسابات Windows المشتبه فيها. هناك الكثير والكثير هنا. راجع تسجيلات SQL المشتبه فيها ، وتسجيلات الخادم وتعيين المستخدم ، وأذونات المستخدم ، وجميع أذونات المستخدم ، وأدوار الخادم ، وأدوار قاعدة البيانات ، ومقدار من الضعف أو تقارير المصادقة المختلطة ، وقواعد بيانات تمكين الضيف ، ونقاط ضعف نظام التشغيل عبر XPS ، والإجراءات الموسعة ، ثم الأدوار الثابتة الضعيفة. تلك هي بعض التقارير التي لدينا.
ديز بلانشفيلد: لقد ذكرت أنها مهمة بدرجة كافية وعدد منها ، وهذا أمر منطقي. كم هو سهل بالنسبة لي لتكييف ذلك؟ إذا قمت بتشغيل تقرير وحصلت على هذا الرسم البياني الكبير ، ولكني أريد أن أخرج بعض المقاطع التي لست مهتمًا بها حقًا وأضيف بعض الميزات الأخرى ، هل هناك كاتب تقارير ، هل هناك نوع من الواجهة وأداة لتكوين وتفصيل أو حتى يحتمل بناء تقرير آخر من الصفر؟
إجناسيو رودريغيز: سنوجه المستخدمين بعد ذلك لاستخدام خدمات تقارير Microsoft SQL للقيام بذلك ولدينا العديد من العملاء الذين سيتولون بالفعل بعض التقارير وتخصيصها وجدولة وقتما يريدون. يريد بعض هؤلاء الأشخاص الاطلاع على هذه التقارير على أساس شهري أو أسبوعي وسيأخذون المعلومات التي لدينا ، وننقلها إلى "خدمات التقارير" ثم يقومون بذلك من هناك. ليس لدينا كاتب تقارير متكامل مع أداتنا ، لكننا نستفيد من خدمات التقارير.
ديز بلانشفيلد: أعتقد أن هذا أحد أكبر التحديات التي تواجهها هذه الأدوات. يمكنك الوصول إلى هناك والعثور على الأشياء ، ولكن بعد ذلك تحتاج إلى أن تكون قادرًا على سحبها ، وتقديم تقرير عنها إلى الأشخاص الذين ليسوا بالضرورة DBAs ومهندسي النظم. هناك دور مثير للاهتمام جاء في تجربتي وهو ، كما تعلمون ، أن مسؤولي المخاطر كانوا دائمًا في المؤسسات وأنهم في الغالب موجودون في مجموعة مختلفة تمامًا من المخاطر التي رأيناها مؤخرًا ، في حين أن البيانات الآن لا تصبح الانتهاكات مجرد شيء ولكن تسونامي فعلي ، فقد تحولت CRO من كونك ، كما تعلمون ، الموارد البشرية والامتثال والتركيز على الصحة والسلامة المهنية الآن إلى مخاطر الإنترنت. أنت تعرف ، تخترق ، اختراق ، أمن - أكثر تقنية بكثير. وهذا الأمر مثير للاهتمام لأن هناك الكثير من CROs التي تأتي من نسب ماجستير في إدارة الأعمال وليس نسبًا تقنيًا ، لذلك يتعين عليهم الالتفاف حولهم ، نوعًا ما ، ماذا يعني هذا بالنسبة للانتقال بين مخاطر الإنترنت والانتقال إلى CRO ، وهكذا دواليك. ولكن الشيء الكبير الذي يريدونه هو مجرد تقارير الرؤية.
هل يمكن أن تخبرنا بأي شيء حول تحديد المواقع فيما يتعلق بالامتثال؟ من الواضح أن إحدى نقاط القوة الكبيرة في ذلك هي أنه يمكنك رؤية ما يجري ، يمكنك مراقبته ، يمكنك التعلم ، يمكنك الإبلاغ عنه ، يمكنك الرد عليه ، يمكنك حتى استباق بعض الأشياء. التحدي الرئيسي هو الامتثال للحكم. هل هناك أجزاء أساسية من هذا ترتبط عمدا بمتطلبات الامتثال الحالية أو الامتثال للصناعة مثل PCI ، أو شيء من هذا القبيل في الوقت الراهن ، أم أنه شيء ما سيأتي على خريطة الطريق؟ هل يتناسب ، إلى حد ما ، مع إطار أمثال معايير COBIT و ITIL و ISO؟ إذا قمنا بنشر هذه الأداة ، فهل يعطينا سلسلة من الضوابط والتوازنات التي تتوافق مع تلك الأطر ، أو كيف يمكننا أن ندمجها في تلك الأطر؟ أين الموقف مع وضع هذه الأشياء في الاعتبار؟
اجناسيو رودريغيز: نعم ، هناك قوالب لدينا التي نقدمها مع الأداة. ونحن نصل إلى النقطة التي نعيد فيها تقييم قوالبنا وسوف نضيفها ، وسيكون هناك المزيد قريباً. FISMA ، FINRA ، بعض القوالب الإضافية التي لدينا ، ونقوم عادةً بمراجعة القوالب ونتطلع إلى معرفة ما الذي تغير ، ما الذي نحتاج إلى إضافته؟ ونريد بالفعل الوصول إلى النقطة التي ، كما تعلمون ، تغيرت فيها متطلبات الأمان قليلاً ، لذلك نحن نبحث عن طريقة لجعل هذا قابلاً للتوسعة أثناء الطيران. هذا شيء نتطلع إليه في المستقبل.
لكننا نبحث الآن عن إنشاء قوالب والقدرة على الحصول على القوالب من موقع ويب ؛ يمكنك تنزيلها. وهذه هي الطريقة التي نتعامل بها مع ذلك - نحن نتعامل معها من خلال القوالب ، ونحن نبحث عن طرق في المستقبل هنا لجعل ذلك سهل التوسعة وبسرعة. لأنه عندما اعتدت القيام بمراجعة الحسابات ، كما تعلم ، تتغير الأمور. سيأتي المراجع بعد شهر واحد وفي الشهر التالي يريدون رؤية شيء مختلف. ثم يعد هذا أحد التحديات التي تواجه الأدوات ، وهو القدرة على إجراء تلك التغييرات والحصول على ما تحتاج إليه ، وهذا هو نوع من المكان الذي نريد الوصول إليه.
ديز بلانشفيلد: أعتقد أن تحدي مدقق الحسابات يتغير على أساس منتظم في ضوء حقيقة أن العالم يتحرك بشكل أسرع. ذات مرة ، كان المطلب من وجهة نظر التدقيق ، في تجربتي ، مجرد امتثال تجاري بحت ، وبعد ذلك أصبح تقيدًا تقنيًا والآن هو الامتثال التشغيلي. وهناك كل هذه الأشياء الأخرى ، كما تعلمون ، كل يوم يحضر شخص ما ولا يقيسك فقط على شيء مثل تشغيل ISO 9006 و 9002 ، إنه يبحث في كل أنواع الأشياء. وأرى الآن أن سلسلة الـ 38000 أصبحت شيئًا كبيرًا أيضًا في ISO. أتصور أن الأمر سوف يزداد صعوبة. أنا على وشك التسليم لروبن لأنني كنت أعاني من عرض النطاق الترددي.
شكرًا جزيلاً على ذلك ، وسأقضي بالتأكيد مزيدًا من الوقت للتعرف عليه لأنني لم أكن أدرك حقًا أن هذا كان بالفعل متعمقًا. شكراً لك يا إغناسيو ، سأقوم بتسليم روبن الآن. عرض رائع ، شكرا لك. روبن ، عبر لك.
د. روبن بلور: حسنًا إيجي ، سأتصل بك إيجي ، إذا كان هذا جيدًا. ما يزعجني ، وأعتقد أنه في ضوء بعض الأشياء التي قالها ديز في عرضه التقديمي ، هناك الكثير من الأمور السيئة التي تحدث هناك والتي يجب أن تقول إن الناس لا يهتمون بالبيانات. كما تعلمون ، لا سيما عندما يتعلق الأمر بحقيقة أنك ترى فقط جزءًا من الجبل الجليدي وربما هناك الكثير مما يحدث في تقارير هذا الشخص. أنا مهتم بمنظورك فيما يتعلق بعدد العملاء الذين تعرفهم ، أو العملاء المحتملين الذين تعرفهم ، يتمتعون بمستوى الحماية الذي تقدمه ، مع ذلك ، ليس فقط ، ولكن أيضا تكنولوجيا الوصول إلى البيانات الخاصة بك؟ أعني ، من هو المجهز بشكل صحيح للتعامل مع التهديد ، هو السؤال؟
اجناسيو رودريغيز: من هو مجهز بشكل صحيح؟ أعني ، أن الكثير من العملاء لم نقم بمعالجة أي نوع من التدقيق ، كما تعلمون. لقد كان لديهم بعض ، ولكن الشيء الكبير هو محاولة مواكبة ذلك ومحاولة الحفاظ عليه والتأكد. إن المشكلة الكبيرة التي رأيناها هي - وحتى عندما كنت أقوم بالامتثال ، هي - إذا قمت بتشغيل البرامج النصية الخاصة بك ، فستقوم بذلك مرة واحدة كل ثلاثة أشهر عندما يأتي المراجعون وستجد مشكلة. حسنًا ، خمن ما ، بعد فوات الأوان ، والتدقيق هناك ، والمدققون موجودون ، ويريدون تقريرهم ، ويحددونه. وبعد ذلك إما نحصل على علامة أو قيل لنا ، مهلاً ، نحتاج إلى حل هذه المشكلات ، وهذا هو المكان الذي سيأتي فيه. سيكون الأمر أكثر نوعًا استباقيًا حيث يمكنك العثور على المخاطرة وتخفيف المخاطرة وهذا ما عملائنا يبحثون عنه. هناك طريقة لتكون استباقيًا إلى حد ما بدلاً من أن تكون متفاعلًا عندما يأتي المراجعون ويجدون أن بعض عمليات الوصول ليست في المكان الذي يحتاجون إليه ، بينما يتمتع الآخرون بامتيازات إدارية ويجب ألا يتمتعوا بها ، تلك الأنواع من الأشياء. وهذا هو المكان الذي رأينا فيه الكثير من التعليقات ، حيث يحب الناس الأداة ويستخدمونها من أجلها.
د. روبن بلور: حسنًا ، لدي سؤال آخر وهو ، إلى حد ما ، سؤال واضح أيضًا ، لكنني فضولي. كم من الناس يأتون إليك فعليًا في أعقاب الاختراق؟ حيث ، أنت تعلم ، تحصل على العمل ، ليس لأنهم نظروا إلى بيئتهم وتوصلوا إلى أنهم بحاجة إلى تأمين بطريقة أكثر تنظيماً ، لكن في الواقع أنت هناك ببساطة لأنهم عانوا بالفعل من بعض ألم.
إجناسيو رودريغيز: في الوقت الذي قضيته هنا في المعهد ، لم أر واحدة. لنكون صادقين معك ، فإن معظم التفاعل الذي أجريته مع العملاء الذين شاركت معهم هو أكثر من مجرد نظرة إلى الأمام ومحاولة البدء في التدقيق وبدأ النظر في الامتيازات ، إلى آخره. كما قلت ، أنا نفسي ، لم أختبر في وقتي هنا ، أن لدينا أي شخص جاء بعد خرق أعرفه.
الدكتور روبن بلور: أوه ، هذا مثير للاهتمام. كنت أعتقد أنه كان هناك عدد قليل على الأقل. أنا في الواقع ننظر إلى هذا ، لكنني أضيفت إليه أيضًا ، كل التعقيدات التي تجعل البيانات آمنة بالفعل عبر المؤسسة بكل طريقة وفي كل نشاط تقوم به. هل تقدم الاستشارات مباشرة لمساعدة الناس؟ أعني أنه من الواضح أنه يمكنك شراء الأدوات ، ولكن في تجربتي ، غالبًا ما يشتري الأشخاص أدوات متطورة ويستخدمونها بشكل سيء للغاية. هل تقدمون استشارات محددة - ما الذي يجب فعله ، ومن الذي سيقوم بالتدريب وأشياء مثل هذه؟
إجناسيو رودريغيز: هناك بعض الخدمات التي يمكنك ، فيما يتعلق بالخدمات الداعمة ، التي ستسمح بحدوث بعض هذه الخدمات. لكن فيما يتعلق بالخدمات الاستشارية ، لا نقدم أي خدمات استشارية ولكن التدريب ، كما تعلمون ، هو كيفية استخدام الأدوات والأشياء المشابهة ، وسيتم التعامل مع بعضها بمستوى الدعم. لكن في حد ذاته ، لا يوجد لدينا قسم خدمات يخرج ويفعل ذلك.
د. روبن بلور: حسنًا. فيما يتعلق بقاعدة البيانات التي تقوم بتغطيتها ، يذكر العرض التقديمي هنا Microsoft SQL Server فقط - هل تفعل Oracle أيضًا؟
اجناسيو رودريغيز: سنتوسع في مجال أوراكل مع مدير الامتثال أولاً. سنبدأ مشروعًا بهذا ، لذلك سنبحث في توسيع هذا الأمر إلى Oracle.
د. روبن بلور: هل من المحتمل أن تذهب إلى مكان آخر؟
إجناسيو رودريغيز: نعم ، هذا شيء يتعين علينا أن ننظر إليه في خرائط الطريق ونرى كيف هي الأمور ، ولكن هذا هو بعض الأشياء التي ندرسها ، ما هي منصات قواعد البيانات الأخرى التي نحتاج إلى مهاجمتها كذلك.
د. روبن بلور: كنت مهتمًا أيضًا بالانقسام ، ليس لدي أي صورة مسبقة لهذا الأمر ، لكن من حيث عمليات النشر ، كم من هذا يتم نشره فعليًا في السحابة ، أم أنه كل شيء تقريبًا ؟
اجناسيو رودريغيز: كل شيء على فرضية. نحن نبحث في تمديد تأمين كذلك لتغطية أزور ، نعم.
د. روبن بلور: كان هذا هو السؤال "أزور" ، أنت لست هناك بعد لكنك ذاهب إلى هناك ، إنه منطقي للغاية.
إجناسيو رودريغيز: نعم ، نحن ذاهبون إلى هناك قريبًا.
الدكتور روبن بلور: نعم ، حسنًا ، ما أفهمه من Microsoft هو أن هناك الكثير من الإجراءات مع Microsoft SQL Server في Azure. لقد أصبح ، إذا أردت ، جزءًا أساسيًا مما يقدمونه. السؤال الآخر الذي أهتم به نوعًا ما - إنه ليس تقنيًا ، إنه أشبه بسؤال "كيف تقوم بالمشاركة" - من هو المشتري لهذا؟ هل يتم الاتصال بك من قبل قسم تكنولوجيا المعلومات أم أنك تتعامل مع منظمات المجتمع المدني ، أم أنها مجموعة متنوعة من الأشخاص؟ عندما يتم النظر في شيء مثل هذا ، هل هو جزء من النظر إلى سلسلة كاملة من الأشياء لتأمين البيئة؟ ما هو الوضع هناك؟
اجناسيو رودريغيز: إنه مزيج. لدينا منظمات المجتمع المدني ، في كثير من الأحيان سيتواصل فريق المبيعات ويتحدث إلى DBAs. وبعد ذلك ، تم تعيين DBAs ، مرة أخرى ، مع وضع نوع من سياسات عملية التدقيق في المكان. وبعد ذلك سيقومون بتقييم الأدوات والإبلاغ عن السلسلة واتخاذ قرار بشأن الجزء الذي يرغبون في شرائه. لكنها حقيبة مختلطة من الذي سيتصل بنا.
د. روبن بلور: حسنًا. أعتقد أنني سأعود إلى Eric الآن لأننا فعلنا نوعًا ما من ساعة ، ولكن قد يكون هناك بعض أسئلة الجمهور. اريك؟
إريك كافانا: نعم بالتأكيد ، لقد اخترقنا الكثير من المحتوى الجيد هنا. إليك سؤال جيد حقًا ، سأوجهه إليك من أحد الحاضرين. إنه يتحدث عن blockchain وما الذي تتحدث عنه ، ويسأل ، هل هناك طريقة ممكنة لترحيل جزء للقراءة فقط من قاعدة بيانات SQL إلى شيء مشابه لما يقدمه blockchain؟ انها نوع من واحدة صعبة.
إجناسيو رودريغيز: نعم ، سأكون صادقًا معك ، ليس لدي إجابة على هذا السؤال.
إريك كافانا: سوف أرميها إلى روبن. لا أعرف إذا سمعت هذا السؤال ، روبن ، لكنه يسأل فقط ، هل هناك طريقة لترحيل الجزء للقراءة فقط من قاعدة بيانات SQL إلى شيء مشابه لما يقدمه blockchain؟ ما رأيك في ذلك؟
الدكتور روبن بلور: يبدو الأمر كذلك ، إذا كنت ستقوم بترحيل قاعدة البيانات ، فستقوم أيضًا بنقل حركة مرور قاعدة البيانات. هناك مجموعة كاملة من التعقيد المشاركة في القيام بذلك. لكنك لن تفعل ذلك لأي سبب آخر غير جعل البيانات مصونة. نظرًا لأن الوصول إلى سلسلة المفاتيح سيكون أبطأ من ذلك ، كما تعلمون ، إذا كانت السرعة هي الشيء الخاص بك - وهو دائمًا ما يكون الأمر - فلن تقوم بذلك. ولكن إذا كنت ترغب في توفير نوع من الوصول المشفر بمفاتيح إلى جزء منه لبعض الأشخاص الذين يقومون بهذا النوع من الأشياء ، فيمكنك القيام بذلك ، ولكن يجب أن يكون لديك سبب وجيه. أنت أكثر عرضة لترك الأمر حيث هو وتأمين مكان وجوده.
ديز بلانشفيلد: نعم ، أوافق على ذلك ، إذا كان بإمكاني أن أفعل ذلك بسرعة. أعتقد أن تحدي blockchain ، وحتى blockchain الموجود على الملأ هناك ، يتم استخدامه على bitcoin - نجد أنه من الصعب توسيع نطاقه إلى ما بعد ، نوعا ما ، أربع معاملات في الدقيقة بأسلوب توزيع كامل. ليس بسبب التحدي الحسابي ، على الرغم من وجوده ، فإن العقد الكاملة تجد صعوبة في مواكبة وحدات تخزين قاعدة البيانات التي تتحرك للأمام وللأمام وكمية البيانات التي يتم نسخها لأنها تتجه الآن ، وليس فقط ميغس.
ولكن أيضًا ، أعتقد أن التحدي الرئيسي هو أنك تحتاج إلى تغيير بنية التطبيق لأنه في قاعدة البيانات يتعلق في الغالب بنقل كل شيء إلى موقع مركزي ولديك نموذج نوع خادم العميل. Blockchain هو معكوس. إنه عن نسخ موزعة. يشبه BitTorrent بعدة طرق ، وهذا يعني أن الكثير من النسخ موجودة بنفس البيانات. وكما تعلم ، مثل Cassandra وقواعد البيانات في الذاكرة حيث تقوم بتوزيعها ، ويمكن أن يوفر لك الكثير من الخوادم نسخًا من نفس البيانات من فهرس موزع. أعتقد أن الجزأين الرئيسيين ، كما قلت ، Robin ، هو: واحد ، إذا كنت ترغب في تأمينه والتأكد من أنه لا يمكن سرقته أو اختراقه ، فهذا شيء رائع ، لكنه ليس بالضرورة منصة للمعاملات حتى الآن ، ونحن لقد واجهت ذلك مع مشروع البيتكوين. لكن من الناحية النظرية حلها آخرون. ولكن أيضًا ، من الناحية المعمارية ، لا تعرف الكثير من التطبيقات الموجودة هناك كيفية الاستعلام والقراءة من blockchain.
هناك الكثير من العمل الذي يتعين القيام به هناك. لكنني أعتقد أن النقطة الأساسية في السؤال هناك ، فقط إذا استطعت ، هي الأساس المنطقي لنقله إلى سلسلة مفاتيح ، أعتقد أن السؤال الذي يتم طرحه هو ، هل يمكنك أخذ البيانات من قاعدة البيانات ووضعها في شكل ما هذا؟ أكثر أمنا؟ والجواب هو ، يمكنك تركها في قاعدة البيانات وتشفيرها فقط. هناك الكثير من التقنيات الآن. فقط تشفير البيانات في بقية أو في الحركة. لا يوجد سبب لعدم تمكنك من تشفير البيانات في الذاكرة وفي قاعدة البيانات على القرص ، وهو تحد أبسط لأنك لا تملك تغييرًا معماريًا واحدًا. دائما معظم منصات قواعد البيانات ، انها في الواقع مجرد ميزة يتم تمكينها.
إريك كافاناغ: نعم ، لدينا سؤال أخير واحد سأطرحه عليك يا إيجي. انها جيدة جدا. من وجهة نظر اتفاقية مستوى الخدمة وتخطيط السعة ، ما نوع الضريبة الموجودة باستخدام نظامك؟ بمعنى آخر ، هل هناك أي زمن انتقال إضافي أو زيادة في الإنتاجية إذا أراد أحد الأشخاص ، في نظام قاعدة بيانات الإنتاج ، إشراك تكنولوجيا IDERA هنا؟
اجناسيو رودريغيز: لا نرى كثيرًا من التأثير. مرة أخرى ، إنه منتج بدون وكيل وكل شيء يعتمد على ، كما ذكرت من قبل ، اللقطات. ويستند تأمين على لقطات. سوف يخرج إلى هناك وسيخلق في الواقع وظيفة ستذهب إلى هناك بناءً على الفواصل الزمنية التي حددتها. إما تريد أن تفعل ذلك ، مرة أخرى ، أسبوعية ، يومية ، شهرية. سوف يخرج إلى هناك وينفذ هذه المهمة ثم يجمع البيانات من الحالات. عند هذه النقطة ، يعود التحميل بعد ذلك إلى خدمات الإدارة والتحصيل ، بمجرد البدء في إجراء المقارنات وكل ذلك ، لن يلعب التحميل على قاعدة البيانات دورًا في ذلك. كل هذا الحمل موجود الآن على خادم الإدارة والتحصيل ، بقدر ما تفعل المقارنات وكل التقارير وكل ذلك. المرة الوحيدة التي تضغط فيها على قاعدة البيانات هي دائمًا عندما تقوم باللقطة الفعلية. ولم نتلق أي تقارير عن ضرر حقيقي ببيئات الإنتاج.
إريك كافانا: نعم ، هذه نقطة جيدة حقًا تثيرها هناك. في الأساس ، يمكنك فقط تعيين عدد اللقطات التي تلتقطها ، وما هي فترة الفاصل الزمني هذه ، واعتمادًا على ما قد يحدث ، ولكن هذا هيكل ذكي للغاية. هذا شيء جيد يا رجل. حسنًا يا رفاق في الخطوط الأمامية في محاولة لحمايتنا من كل هؤلاء المتسللين الذين تحدثنا معهم في الدقائق الـ 25 الأولى من العرض. وهم هناك ، أيها الناس ، لا يخطئون.
حسنًا ، اسمع ، سننشر رابطًا إلى هذا البث الشبكي ، والمحفوظات ، على موقعنا insideanalysis.com. يمكنك العثور على أشياء على SlideShare ، ويمكنك العثور عليها على YouTube. والناس ، الأشياء الجيدة. شكرا على وقتك ، إيجي ، أنا أحب اسم الشهرة الخاص بك ، بالمناسبة. مع ذلك ، سنقدم لك وداعًا. شكرا جزيلا على وقتك والاهتمام. سنلحق بك في المرة القادمة. مع السلامة.
