Par Techopedia Staff, 10 mai 2017
À emporter: l' hôte Eric Kavanagh discute de la sécurité et des autorisations avec le Dr Robin Bloor et Vicky Harp de l'IDERA.
Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.
Eric Kavanagh: D' accord, mesdames et messieurs, bonjour et bienvenue à nouveau. C'est un mercredi, il est quatre heures de l'Est et dans le monde de la technologie d'entreprise, cela signifie qu'il est de nouveau temps pour Hot Technologies! Oui en effet. Présenté par le groupe Bloor bien sûr, propulsé par nos amis de Techopedia. Le sujet d'aujourd'hui est vraiment cool: «Mieux vaut demander la permission: les meilleures pratiques en matière de confidentialité et de sécurité». C'est vrai, c'est un sujet difficile, beaucoup de gens en parlent, mais c'est assez sérieux, et ça devient vraiment plus sérieux chaque jour, très franchement. C'est un problème grave à bien des égards pour de nombreuses organisations. Nous allons en parler et nous allons parler de ce que vous pouvez faire pour protéger votre organisation contre les personnages néfastes qui semblent être partout ces jours-ci.
La présentatrice d'aujourd'hui est donc Vicky Harp qui appelle IDERA. Vous pouvez voir le logiciel IDERA sur LinkedIn - j'adore les nouvelles fonctionnalités sur LinkedIn. Bien que je puisse dire qu'ils tirent certaines ficelles d'une certaine manière, ne vous permettent pas d'accéder aux gens, essayant de vous faire acheter ces abonnements premium. Voilà, nous avons notre propre Robin Bloor qui compose - il est en fait dans la région de San Diego aujourd'hui. Et le vôtre vraiment en tant que modérateur / analyste.
Alors de quoi parle-t-on? Les violations de données. Je viens de prendre cette information sur IdentityForce.com, c'est déjà parti pour les courses. Nous sommes bien sûr en mai de cette année, et il y a juste une tonne de violations de données, il y en a vraiment de très grandes, bien sûr, par Yahoo! était un gros problème, et nous avons entendu parler du piratage du gouvernement américain. Nous venons de faire pirater les élections françaises.
Cela se passe partout, ça continue et ça ne va pas s'arrêter, donc c'est une réalité, c'est la nouvelle réalité, comme on dit. Nous devons vraiment réfléchir aux moyens de renforcer la sécurité de nos systèmes et de nos données. Et c'est un processus continu, il est donc juste à temps de réfléchir à toutes les différentes questions qui entrent en jeu. Ce n'est qu'une liste partielle, mais cela vous donne une idée de la précarité de la situation actuelle avec les systèmes d'entreprise. Et avant ce spectacle, dans nos plaisanteries d'avant le spectacle, nous parlions de ransomware qui a frappé quelqu'un que je connais, ce qui est une expérience très désagréable, quand quelqu'un prend le contrôle de votre iPhone et vous demande de l'argent pour que vous puissiez accéder à nouveau à votre téléphone. Mais ça arrive, ça arrive aux ordinateurs, ça arrive aux systèmes, j'ai vu l'autre jour, ça arrive aux milliardaires avec leurs yachts. Imaginez-vous aller un jour sur votre yacht, essayer d'impressionner tous vos amis et vous ne pouvez même pas l'allumer, car un voleur a volé l'accès aux commandes, au panneau de commande. Je viens de dire l'autre jour dans une interview à quelqu'un, toujours avoir la priorité manuelle. Comme, je ne suis pas un grand fan de toutes les voitures connectées - même les voitures peuvent être piratées. Tout ce qui est connecté à Internet ou connecté à un réseau qui peut être pénétré peut être piraté, n'importe quoi.
Donc, voici quelques éléments à considérer pour définir le contexte de la gravité de la situation. Les systèmes basés sur le Web sont partout ces jours-ci, ils continuent de proliférer. Combien de personnes achètent des trucs en ligne? C'est juste à travers le toit ces jours-ci, c'est pourquoi Amazon est une force si puissante de nos jours. C'est parce que tant de gens achètent des trucs en ligne.
Donc, vous vous souvenez à l'époque, il y a 15 ans, les gens étaient assez nerveux à l'idée de mettre leur carte de crédit dans un formulaire Web pour obtenir leurs informations, et à l'époque, l'argument était: «Eh bien, si vous remettez votre carte de crédit à un serveur à un restaurant, alors c'est la même chose. »Donc, notre réponse est oui, c'est la même chose, il y a tous ces points de contrôle, ou points d'accès, même chose, côté différent de la même pièce, où les gens peuvent être mis en danger, où quelqu'un peut prendre votre argent, ou quelqu'un peut vous voler.
Ensuite, l'IoT étend bien sûr le paysage des menaces - j'adore ce mot - par ordre de grandeur. Je veux dire, pensez-y - avec tous ces nouveaux appareils partout, si quelqu'un peut pirater un système qui les contrôle, il peut retourner tous ces robots contre vous et causer beaucoup, beaucoup de problèmes, c'est donc un problème très grave. Nous avons une économie mondiale de nos jours, qui élargit encore plus le paysage des menaces, et de plus, vous avez des gens dans d'autres pays qui peuvent accéder au Web de la même manière que vous et moi, et si vous ne savez pas parler russe ou un certain nombre d'autres langues, vous aurez du mal à comprendre ce qui se passe quand ils piratent votre système. Nous avons donc des avancées en matière de mise en réseau et de virtualisation, eh bien c'est bien.
Mais j'ai sur le côté droit de cette image ici, une épée et la raison pour laquelle je l'ai, c'est parce que chaque épée coupe dans les deux sens. C'est une épée à double tranchant, comme on dit, et c'est un vieux cliché, mais cela signifie que l'épée que je possède peut vous nuire ou me nuire. Il peut revenir sur moi, soit en rebondissant, soit par quelqu'un qui le prend. C'est en fait l'une des fables d'Ésope - nous donnons souvent à nos ennemis les outils de notre propre destruction. C'est vraiment tout à fait le scénario convaincant et a à voir avec quelqu'un qui a utilisé un arc et une flèche et a abattu un oiseau et l'oiseau a vu, au fur et à mesure que la flèche montait, que la plume d'un de ses amis de la volaille était sur le bord de la flèche, au dos de la flèche pour le guider, et il se dit: "Oh mec, le voici, mes propres plumes, ma propre famille va être utilisée pour me faire descendre." Cela arrive tout le temps, vous entendez statistiques sur vous avez une arme à feu dans la maison, le voleur peut prendre l'arme à feu. Eh bien, tout cela est vrai. Donc, je lance ceci comme une analogie juste pour considérer, tous ces différents développements ont des côtés positifs et négatifs.
Et en parlant de conteneurs pour ceux d'entre vous qui suivent vraiment la pointe de l'informatique d'entreprise, les conteneurs sont la dernière chose, la dernière façon de fournir des fonctionnalités, c'est vraiment le mariage de la virtualisation dans l'architecture orientée services, au moins pour les microservices et c'est trucs très intéressants. Vous pouvez certainement obscurcir vos protocoles de sécurité et vos protocoles d'application et vos données et ainsi de suite, en utilisant des conteneurs, et cela vous donne une avance pour une période de temps, mais tôt ou tard, les méchants vont comprendre cela, et alors il sera encore plus difficile de les empêcher de profiter de vos systèmes. Donc, il y a ça, il y a une main-d'œuvre mondiale qui complique le réseau et la sécurité, et d'où les gens se connectent.
Nous avons les guerres de navigateur qui se poursuivent et nécessitent un travail constant pour se mettre à jour et rester au courant. Nous entendons toujours parler des anciens navigateurs Microsoft Explorer, de la façon dont ils ont été piratés et disponibles. Donc, il y a plus d'argent à faire en piratant ces jours-ci, il y a toute une industrie, c'est quelque chose que mon partenaire, le Dr Bloor, m'a appris il y a huit ans - je me demandais pourquoi nous en voyons autant, et il a rappelé moi, c'est toute une industrie impliquée dans le piratage. Et en ce sens, le récit, qui est l'un de mes mots les moins préférés au sujet de la sécurité, est vraiment très malhonnête, car le récit vous montre dans toutes ces vidéos et toute sorte de couverture d'actualités certains piratages qu'ils montrent un gars dans un sweat à capuche, assis dans son sous-sol dans une pièce sombre éclairée, ce n'est pas du tout le cas. Ce n'est pas du tout représentatif de la réalité. Ce sont des pirates seuls, il y a très peu de pirates seuls, ils sont là-bas, ils causent des problèmes - ils ne vont pas causer de gros problèmes, mais ils peuvent faire beaucoup d'argent. Donc, ce qui se passe, c'est que les pirates informatiques entrent et pénètrent dans votre système, puis vendent cet accès à quelqu'un d'autre, qui se retourne et le vend à quelqu'un d'autre, puis quelque part plus tard, quelqu'un exploite ce piratage et profite de vous. Et il existe d'innombrables façons de tirer parti des données volées.
Je me suis même émerveillé de la façon dont nous avons glamouré ce concept. Vous voyez ce terme partout, «hacking de croissance» comme si c'était une bonne chose. Le piratage de croissance, vous savez, le piratage peut être une bonne chose, si vous essayez de travailler pour les bons pour ainsi dire et pirater un système, comme nous continuons d'entendre parler de la Corée du Nord et de leurs lancements de missiles, potentiellement piratés - c'est bon. Mais le piratage est souvent une mauvaise chose. Alors maintenant, nous le glorifions, presque comme Robin Hood, quand nous avons glamorisé Robin Hood. Et puis il y a la société sans espèces, quelque chose qui me préoccupe franchement. Tout ce que je pense à chaque fois que j'entends c'est: «Non, ne le fais pas! S'il vous plaît, ne le faites pas! »Je ne veux pas que tout notre argent disparaisse. Donc, ce ne sont que quelques problèmes à considérer, et encore une fois, c'est un jeu de chat et de souris; ça ne va jamais s'arrêter, il y aura toujours un besoin de protocoles de sécurité et d'avancement des protocoles de sécurité. Et pour surveiller vos systèmes pour même savoir et détecter qui est là-bas, étant entendu que cela pourrait même être un travail intérieur. C'est donc un problème permanent, ce sera un problème permanent pendant un certain temps - ne vous y trompez pas.
Et avec cela, je vais céder la parole au Dr Bloor, qui peut partager avec nous quelques réflexions sur la sécurisation des bases de données. Robin, emporte-le.
Robin Bloor: OK, l'un des hacks intéressants, je pense que cela s'est produit il y a environ cinq ans, mais en gros, c'était une société de traitement de cartes qui a été piratée. Et un grand nombre de détails de carte ont été volés. Mais la chose intéressante à ce sujet, pour moi, était le fait que c'était la base de données de test dans laquelle ils se trouvaient réellement, et il était probablement vrai qu'ils avaient beaucoup de difficulté à accéder à la base de données réelle et réelle des cartes de traitement. Mais vous savez comment ça se passe avec les développeurs, ils prennent juste une coupe d'une base de données, la poussent là-dedans. Il aurait fallu beaucoup plus de vigilance pour arrêter cela. Mais il y a beaucoup d'histoires de piratage intéressantes, cela fait dans un domaine, cela fait un sujet très intéressant.
Je vais donc en fait, d'une manière ou d'une autre, répéter certaines des choses qu'Eric a dites, mais il est facile de considérer la sécurité des données comme une cible statique; c'est plus facile simplement parce qu'il est plus facile d'analyser des situations statiques et de penser ensuite à y mettre des défenses, des défenses, mais ce n'est pas le cas. C'est une cible mouvante et c'est l'une des choses qui définit en quelque sorte l'ensemble de l'espace de sécurité. C'est juste dans la façon dont toute technologie évolue, la technologie des méchants évolue également. Donc, bref aperçu: le vol de données n'est pas nouveau, en fait, l'espionnage de données est un vol de données et cela dure depuis des milliers d'années, je pense.
Le plus gros casse de données en ces termes a été que les Britanniques ont brisé les codes allemands et les Américains ont brisé les codes japonais, et à peu près dans les deux cas, ils ont raccourci la guerre très considérablement. Et ils volaient juste des données utiles et précieuses, c'était très intelligent bien sûr, mais vous savez, ce qui se passe en ce moment est très intelligent à bien des égards. Le vol informatique est né avec Internet et a explosé vers 2005. Je suis allé voir toutes les statistiques et quand vous avez commencé à devenir vraiment sérieux et, d'une manière ou d'une autre, des nombres remarquablement élevés à partir d'environ 2005. C'est juste devenu pire depuis ensuite. De nombreux acteurs, les gouvernements sont impliqués, les entreprises sont impliquées, les groupes de hackers et les individus.
Je suis allé à Moscou - cela devait faire environ cinq ans - et j'ai en fait passé beaucoup de temps avec un gars du Royaume-Uni, qui fait des recherches sur l'ensemble de l'espace de piratage. Et il a dit que - et je ne sais pas si c'est vrai, je n'ai que sa parole, mais cela semble très probable - qu'en Russie, il y a quelque chose appelé le Business Network, qui est un groupe de pirates qui sont tous, vous savez, ils sont sortis des ruines du KGB. Et ils se vendent, pas seulement, je veux dire, je suis sûr que le gouvernement russe les utilise, mais ils se vendent à n'importe qui, et il a été dit, ou il l'a dit, que divers gouvernements étrangers utilisaient le Business Network pour déni plausible. Ces gars-là avaient des réseaux de millions de PC compromis à partir desquels ils pouvaient attaquer. Et ils avaient tous les outils que vous pouvez imaginer.
Ainsi, la technologie d'attaque et de défense a évolué. Et les entreprises ont le devoir de prendre soin de leurs données, qu'elles en soient propriétaires ou non. Et cela commence à devenir beaucoup plus clair en ce qui concerne les divers règlements qui sont déjà en vigueur ou qui entrent en vigueur. Et il est probable que la situation s'améliore, quelqu'un d'une manière ou d'une autre, quelqu'un doit assumer le coût du piratage de telle manière qu'il est incité à fermer la possibilité. C'est l'une des choses qui, je suppose, est nécessaire. Donc, en ce qui concerne les pirates, ils peuvent être localisés n'importe où. Particulièrement au sein de votre organisation - une grande partie des astuces ingénieuses dont j'ai entendu parler impliquaient quelqu'un ouvrant la porte. Vous savez, la personne, c'est comme la situation du vol de banque, presque toujours ils disaient que dans les bons vols de banque, il y a un initié. Mais l'initié n'a qu'à donner des informations, il est donc difficile de les obtenir, de savoir qui c'était, et ainsi de suite.
Et il peut être difficile de les traduire en justice, car si vous avez été piraté par un groupe de personnes en Moldavie, même si vous savez que c'était ce groupe, comment allez-vous faire en sorte qu'un événement juridique se produise autour d'eux? C'est en quelque sorte, d'une juridiction à l'autre, c'est juste qu'il n'y a pas un très bon ensemble d'arrangements internationaux pour repérer les pirates. Ils partagent la technologie et l'information; une grande partie est open source. Si vous souhaitez créer votre propre virus, il existe de nombreux kits de virus - entièrement open source. Et ils ont des ressources considérables, il y en a un certain nombre qui ont eu des botnets dans plus d'un million d'appareils compromis dans les centres de données et sur les ordinateurs, etc. Certaines sont des entreprises rentables qui existent depuis longtemps, et puis il y a des groupes gouvernementaux, comme je l'ai mentionné. Il est peu probable, comme Eric l'a dit, il est peu probable que ce phénomène se termine.
Donc, c'est un hack intéressant que je pensais juste mentionner, parce que c'était un hack assez récent; c'est arrivé l'année dernière. Il y avait une vulnérabilité dans le contrat DAO associée à la pièce cryptographique Etherium. Et il a été discuté sur un forum, et en une journée, le contrat DAO a été piraté, en utilisant précisément cette vulnérabilité. 50 millions de dollars d'éther ont été siphonnés, provoquant une crise immédiate dans le projet DAO et le fermant. Et l'Etherium s'est en fait battu pour essayer d'empêcher le pirate d'accéder à l'argent, et ils ont en quelque sorte réduit sa prise. Mais on pensait également - pas connu avec certitude - que le pirate avait effectivement réduit le prix de l'éther avant son attaque, sachant que le prix de l'éther s'effondrerait et ferait ainsi un profit d'une autre manière.
Et c'est un autre stratagème, si vous voulez, que les pirates peuvent utiliser. S'ils peuvent endommager le prix de votre action et qu'ils savent qu'ils le feront, alors il leur suffit de raccourcir le prix de l'action et de pirater, alors c'est en quelque sorte, ces gars-là sont intelligents, vous savez. Et le prix est le vol d'argent, les perturbations et les rançons, y compris les investissements, où vous perturbez et court-circuitez le stock, le sabotage, le vol d'identité, toutes sortes d'escroqueries, juste pour le plaisir de la publicité. Et cela tend à être politique, ou évidemment, à espionner des informations et il y a même des gens qui gagnent leur vie grâce aux primes de bogues que vous pouvez obtenir en essayant de pirater Google, Apple, Facebook - même le Pentagone, donne en fait des primes de bogues. Et vous piratez juste; si c'est réussi, alors vous allez juste réclamer votre prix, et aucun dommage n'est fait, c'est donc une bonne chose, vous savez.
Je pourrais aussi bien mentionner la conformité et la réglementation. Outre les initiatives sectorielles, il existe de nombreuses réglementations officielles: HIPAA, SOX, FISMA, FERPA et GLBA sont toutes des lois américaines. Il y a des normes; PCI-DSS est devenu une norme assez générale. Et puis il y a ISO 17799 sur la propriété des données. Les réglementations nationales varient d'un pays à l'autre, même en Europe. Et actuellement le RGPD - les données mondiales, qu'est-ce que cela signifie? Le règlement mondial sur la protection des données, je pense qu'il représente - mais il entrera en vigueur l'année prochaine, a déclaré. Et la chose intéressante à ce sujet est qu'elle s'applique à travers le monde. Si vous avez 5000 clients ou plus, sur lesquels vous avez des informations personnelles et qui vivent en Europe, alors l'Europe vous prendra en charge, peu importe que votre entreprise ait son siège social ou où elle opère. Et les pénalités, la pénalité maximale est de quatre pour cent des revenus annuels, ce qui est tout simplement énorme, donc ce sera une tournure intéressante sur le monde, quand cela entrera en vigueur.
Choses à penser, eh bien, les vulnérabilités du SGBD, la plupart des données précieuses se trouvent en fait dans des bases de données. C'est précieux parce que nous avons mis énormément de temps à le rendre disponible et à bien l'organiser et cela le rend plus vulnérable, si vous n'appliquez pas réellement les bons titres SGBD. De toute évidence, si vous prévoyez des choses comme celle-ci, vous devez identifier les données vulnérables dans toute l'organisation, en gardant à l'esprit que les données peuvent être vulnérables pour différentes raisons. Il peut s'agir de données client, mais il peut également s'agir de documents internes qui pourraient être utiles à des fins d'espionnage, etc. La politique de sécurité, en particulier en ce qui concerne la sécurité d'accès - qui ces derniers temps a été à mon avis très faible, dans les nouveaux trucs open source - le cryptage est de plus en plus utilisé parce qu'il est assez solide.
Le coût d'une faille de sécurité, la plupart des gens ne le savaient pas, mais si vous regardez réellement ce qui s'est passé avec les organisations qui ont subi des brèches de sécurité, il s'avère que le coût d'une brèche de sécurité est souvent bien plus élevé que vous ne le pensez. . Et puis l'autre chose à penser est la surface d'attaque, car n'importe quel logiciel n'importe où, fonctionnant avec vos organisations présente une surface d'attaque. Il en va de même pour tous les appareils, tout comme les données, quel que soit leur mode de stockage. C'est tout, la surface d'attaque grandit avec l'internet des objets, la surface d'attaque va probablement doubler.
Donc, enfin, DBA et la sécurité des données. La sécurité des données fait généralement partie du rôle du DBA. Mais c'est aussi collaboratif. Et il doit être soumis à la politique de l'entreprise, sinon il ne sera probablement pas bien mis en œuvre. Cela dit, je pense que je peux passer le ballon.
Eric Kavanagh: D'accord, laissez-moi donner les clés à Vicky. Et vous pouvez partager votre écran ou passer à ces diapositives, c'est à vous de le prendre.
Vicky Harp: Non, je vais commencer par ces diapositives, merci beaucoup. Donc, oui, je voulais juste prendre un petit moment et me présenter. Je suis Vicky Harp. Je suis responsable de la gestion des produits pour les produits SQL chez IDERA, et pour ceux d'entre vous qui ne nous connaissent peut-être pas, IDERA a un certain nombre de gammes de produits, mais je parle ici pour le côté SQL Server. Et donc, nous faisons la surveillance des performances, la conformité de la sécurité, la sauvegarde, les outils d'administration - et c'est juste une sorte de liste d'entre eux. Et bien sûr, ce dont je suis ici aujourd'hui, c'est de la sécurité et de la conformité.
La majeure partie de ce dont je veux parler aujourd'hui n'est pas nécessairement nos produits, même si j'ai l'intention d'en montrer quelques exemples plus tard. Je voulais vous parler davantage de la sécurité des bases de données, de certaines des menaces dans le monde de la sécurité des bases de données en ce moment, de certaines choses à penser et de certaines des idées introductives de ce que vous devez regarder pour sécuriser votre SQL Les bases de données du serveur et également pour s'assurer qu'elles sont conformes au cadre réglementaire auquel vous pouvez être soumis, comme cela a été mentionné. Il existe de nombreux règlements différents; ils vont dans différentes industries, dans différents endroits du monde, et ce sont des choses auxquelles il faut penser.
Donc, je veux en quelque sorte prendre un moment et parler de l'état des violations de données - et ne pas répéter trop de ce qui a déjà été discuté ici - Je regardais récemment cette étude de recherche sur la sécurité Intel, et à travers - je pense Environ 1500 organisations avec lesquelles ils ont parlé - ils ont eu en moyenne six violations de la sécurité, en termes de violations de la perte de données, et 68% d'entre elles avaient exigé la divulgation dans un certain sens, donc elles ont affecté le cours des actions, ou elles ont dû faire un peu de crédit suivi pour leurs clients ou leurs employés, etc.
Certaines autres statistiques intéressantes sont que les acteurs internes qui étaient responsables de 43 pour cent de ceux-ci. Donc, beaucoup de gens pensent beaucoup aux hackers et à ce genre d'organisations quasi gouvernementales louches ou au crime organisé, etc., mais les acteurs internes continuent de prendre directement des mesures contre leurs employeurs, dans une proportion assez élevée des cas. Et ceux-ci sont parfois plus difficiles à protéger, car les gens peuvent avoir des raisons légitimes d'accéder à ces données. Environ la moitié de cela, 43 pour cent était une perte accidentelle dans un certain sens. Ainsi, par exemple, dans le cas où quelqu'un a ramené des données à la maison, puis a perdu la trace de ces données, ce qui m'amène à ce troisième point, à savoir que les informations sur les supports physiques étaient toujours impliquées dans 40% des violations. Donc, ce sont les clés USB, les ordinateurs portables des gens, ce sont des supports réels qui ont été gravés sur des disques physiques et sortis du bâtiment.
Si vous y réfléchissez, avez-vous un développeur qui a une copie de développement de votre base de données de production sur son ordinateur portable? Ensuite, ils vont monter dans un avion et ils descendent de l'avion, ils obtiennent les bagages enregistrés et leur ordinateur portable est volé. Vous avez maintenant subi une violation de données. Vous ne pensez peut-être pas nécessairement que c'est pourquoi cet ordinateur portable a été pris, il pourrait ne jamais apparaître à l'état sauvage. Mais c'est toujours quelque chose qui compte comme une violation, cela va nécessiter une divulgation, vous allez avoir tous les effets en aval d'avoir perdu ces données, juste à cause de la perte de ce support physique.
Et l'autre chose intéressante est que beaucoup de gens pensent que les données de crédit et les informations de carte de crédit sont les plus précieuses, mais ce n'est plus vraiment le cas. Ces données sont précieuses, les numéros de carte de crédit sont utiles, mais honnêtement, ces numéros sont modifiés très rapidement, tandis que les données personnelles des personnes ne sont pas modifiées très rapidement. Quelque chose que l'actualité récente, relativement récente, VTech, un fabricant de jouets avait ces jouets qui ont été conçus pour les enfants. Et les gens auraient, ils auraient les noms de leurs enfants, ils auraient des informations sur l'endroit où les enfants vivent, ils avaient les noms de leurs parents, ils avaient des photos des enfants. Rien de tout cela n'a été chiffré, car cela n'était pas considéré comme important. Mais leurs mots de passe étaient cryptés. Eh bien, lorsque l'infraction s'est inévitablement produite, vous dites: «D'accord, j'ai donc une liste des noms des enfants, les noms de leurs parents, où ils vivent - toutes ces informations sont là-bas, et vous pensez que le mot de passe était la partie la plus précieuse de cela? »Ce n'était pas; les gens ne peuvent pas modifier ces aspects concernant leurs données personnelles, leur adresse, etc. Et pour que ces informations soient réellement très précieuses et qu'elles doivent être protégées.
Donc, je voulais parler de certaines choses qui se passent, pour contribuer à la façon dont les violations de données se produisent en ce moment. L'un des grands points chauds, les espaces en ce moment est l'ingénierie sociale. Les gens appellent cela du phishing, il y a usurpation d'identité, etc., où les gens ont accès aux données, souvent par le biais d'acteurs internes, simplement en les convaincant qu'ils sont censés y avoir accès. Donc, l'autre jour, nous avons eu ce ver Google Docs qui circulait. Et ce qui se passerait - et j'en ai effectivement reçu une copie, mais heureusement que je n'ai pas cliqué dessus - vous receviez un e-mail d'un collègue disant: «Voici un lien Google Doc; vous devez cliquer dessus pour voir ce que je viens de partager avec vous. »Eh bien, dans une organisation qui utilise Google Docs, c'est très conventionnel, vous allez recevoir des dizaines de ces demandes par jour. Si vous cliquiez dessus, il vous demanderait la permission d'accéder à ce document, et peut-être vous diriez: «Hé, ça a l'air un peu étrange, mais vous savez, ça a l'air légitime aussi, alors je vais continuer et cliquez dessus ", et dès que vous avez fait cela, vous avez donné à ce tiers l'accès à tous vos documents Google, et ainsi, en créant ce lien pour que cet acteur externe ait accès à tous vos documents sur Google Drive. Cela vermifuge partout. Il a frappé des centaines de milliers de personnes en quelques heures. Et c'était fondamentalement une attaque de phishing que Google lui-même a dû fermer, car elle était très bien exécutée. Les gens sont tombés amoureux.
Je mentionne ici la violation de SnapChat HR. C'était juste une simple question de quelqu'un qui envoie un e-mail, se faisant passer pour le PDG, qui envoie un e-mail au service des ressources humaines en disant: «J'ai besoin que vous m'envoyiez cette feuille de calcul.» Et ils l'ont cru et ils ont mis une feuille de calcul avec 700 employés différents 'les informations sur la rémunération, leurs adresses personnelles, etc., les ont envoyées par e-mail à cette autre partie, ce n'était pas réellement le PDG. Maintenant, les données étaient disponibles et toutes les informations personnelles et privées de leurs employés étaient disponibles et utilisables. Donc, l'ingénierie sociale est quelque chose que je mentionne dans le monde des bases de données, parce que c'est quelque chose contre lequel vous pouvez vous défendre par l'éducation, mais vous devez également vous rappeler que partout où vous avez une personne qui interagit avec votre technologie, et si vous comptez sur leur bon jugement pour éviter une panne, vous leur demandez beaucoup.
Les gens font des erreurs, les gens cliquent sur des choses qu'ils ne devraient pas avoir, les gens tombent pour des ruses intelligentes. Et vous pouvez essayer très fort de les protéger contre cela, mais ce n'est pas assez fort, vous devez essayer de limiter la possibilité pour les gens de divulguer accidentellement ces informations dans vos systèmes de base de données. L'autre chose que je voulais mentionner, c'est que de toute évidence, nous parlons beaucoup de ransomwares, de botnets, de virus - tous ces différents moyens automatisés. Et donc ce que je pense qu'il est important de comprendre à propos du ransomware, c'est qu'il change vraiment le modèle de profit pour les attaquants. Dans le cas où vous parlez d'une violation, ils doivent, dans un certain sens, extraire des données et les avoir pour eux-mêmes et les utiliser. Et si vos données sont obscures, si elles sont cryptées, si elles sont spécifiques à l'industrie, elles n'ont peut-être aucune valeur.
Jusqu'à ce point, les gens avaient peut-être l'impression que c'était une protection pour eux: «Je n'ai pas besoin de me protéger contre une violation de données, car s'ils vont pénétrer dans mon système, tout ce qu'ils auront est, je suis un studio de photographie, j'ai une liste de qui va venir quels jours pour l'année prochaine. Qui s'en soucie? »Eh bien, il se trouve que la réponse est que vous vous souciez de cela; vous stockez ces informations, ce sont vos informations stratégiques. Ainsi, en utilisant un ransomware, un attaquant dira: «Eh bien, personne d'autre ne me donnera d'argent pour cela, mais vous le ferez.» Alors, ils tirent parti du fait qu'ils n'ont même pas besoin de sortir les données, ils ne le font pas » Même en cas de violation, il leur suffit d'utiliser offensivement des outils de sécurité contre vous. Ils entrent dans votre base de données, ils en cryptent le contenu, puis ils disent: «OK, nous avons le mot de passe, et vous allez devoir nous payer 5 000 $ pour obtenir ce mot de passe, sinon vous n'avez tout simplement pas ces données. "
Et les gens paient; ils se trouvent obligés de le faire. MongoDB a eu un gros problème il y a quelques mois, je pense que c'était en janvier, lorsque les ransomwares ont atteint, je pense, plus d'un million de bases de données MongoDB qu'ils ont en public sur Internet, sur la base de certains paramètres par défaut. Et ce qui est encore pire, c'est que les gens paient et que d'autres organisations entrent et rechiffrent ou prétendent avoir été celles qui l'ont initialement crypté, donc quand vous avez payé votre argent, et je pense que dans ce cas, ils étaient demandant quelque chose comme 500 $, les gens disaient: «D'accord, je paierais plus que cela pour payer un chercheur pour qu'il vienne ici pour m'aider à comprendre ce qui n'allait pas. Je vais juste payer les 500 $. »Et ils ne le payaient même pas au bon acteur, alors ils allaient s'entasser avec dix organisations différentes en leur disant:« Nous avons le mot de passe »ou« Nous avons a obtenu le moyen pour vous de déverrouiller vos données rançonnées. »Et vous devrez les payer toutes afin de les faire fonctionner.
Il y a aussi eu des cas où les auteurs de ransomwares avaient des bugs, je veux dire, nous ne parlons pas que ce soit une situation parfaitement au-dessus, donc même une fois qu'il a été attaqué, même une fois que vous avez payé, il n'y a aucune garantie que vous êtes va récupérer toutes vos données, une partie de cela est également compliquée par les outils InfoSec armés. Les Shadow Brokers sont donc un groupe qui a divulgué des outils provenant de la NSA. Ils étaient des outils conçus par une entité gouvernementale à des fins d'espionnage et fonctionnant en réalité contre d'autres entités gouvernementales. Certaines d'entre elles ont été des attaques zero-day très médiatisées, ce qui fait que les protocoles de sécurité connus sont simplement mis de côté. Et donc il y avait une vulnérabilité majeure dans le protocole SMB par exemple, dans l'un des récents dumps de Shadow Brokers.
Et donc ces outils qui viennent ici peuvent, en quelques heures, vraiment changer le jeu sur vous, en termes de surface d'attaque. Donc, chaque fois que j'y pense, c'est quelque chose qu'au niveau organisationnel, la sécurité InfoSec est sa propre fonction, elle doit être prise au sérieux. Chaque fois que nous parlons de bases de données, je peux le prendre un peu, vous ne devez pas nécessairement avoir en tant qu'administrateur de base de données une compréhension complète de ce qui se passe avec les Shadow Brokers cette semaine, mais vous devez être conscient que tous de ceux-ci changent, il y a des choses qui se passent, et donc le degré auquel vous gardez votre propre domaine serré et sécurisé, cela va vraiment vous aider dans le cas où les choses seraient arrachées sous vous.
Donc, je voulais prendre un moment ici, avant de passer à parler spécifiquement de SQL Server, pour avoir en fait une discussion ouverte avec nos panélistes sur certaines des considérations relatives à la sécurité des bases de données. Donc, je suis arrivé à ce point, certaines des choses que nous n'avons pas mentionnées, je voulais parler de l'injection SQL en tant que vecteur. Donc, c'est une injection SQL, c'est évidemment la façon dont les gens insèrent des commandes dans un système de base de données, en malformant les entrées.
Eric Kavanagh: Oui, j'ai en fait rencontré un gars - je pense que c'était à la base d'Andrews Air Force - il y a environ cinq ans, un consultant avec qui je lui parlais dans le couloir et nous partagions simplement des histoires de guerre - sans jeu de mots - et il a mentionné qu'il avait été amené par quelqu'un pour consulter un membre assez élevé de l'armée et le gars lui a demandé: «Eh bien, comment savons-nous que vous êtes bon dans ce que vous faites?» Et ceci et cela . Et comme il leur parlait sur son ordinateur, il était entré dans le réseau, il avait utilisé l'injection SQL pour entrer dans le registre de messagerie pour cette base et pour ces personnes. Et il a trouvé l'email de la personne à qui il parlait et il lui a juste montré son email sur sa machine! Et le gars était comme, "Comment avez-vous fait ça?" Il a dit: "Eh bien, j'ai utilisé l'injection SQL."
Donc, c'était il y a à peine cinq ans, et c'était dans une base de l'Air Force, n'est-ce pas? Donc, je veux dire, en termes de contexte, cette chose est toujours très réelle et elle pourrait être utilisée avec des effets vraiment terrifiants. Je veux dire, je serais curieux de connaître les histoires de guerre que Robin a sur le sujet, mais toutes ces techniques sont toujours valables. Ils sont encore utilisés dans de nombreux cas, et il s'agit de s'instruire, non?
Robin Bloor: Eh bien, oui. Oui, il est possible de se défendre contre l'injection SQL en faisant le travail. Il est facile de comprendre pourquoi lorsque l'idée a été inventée et a proliféré pour la première fois, il est facile de comprendre pourquoi elle a été si réussie, car vous pouvez simplement la coller dans un champ de saisie sur une page Web et la faire renvoyer des données pour vous, ou obtenir pour supprimer des données dans la base de données, ou quoi que ce soit - vous pouvez simplement injecter du code SQL pour le faire. Mais c'est la chose qui m'a intéressé, c'est que vous savez, vous devriez faire un peu d'analyse, de chaque élément de données qui a été entré, mais il est tout à fait possible de repérer que quelqu'un essaie de le faire. Et c'est vraiment, je pense que c'est vraiment le, parce que les gens s'en tirent toujours, je veux dire, c'est vraiment étrange qu'il n'y ait pas eu de moyen facile de lutter contre cela. Vous savez, que tout le monde pourrait facilement utiliser, je veux dire, pour autant que je sache, il n'y en a pas eu, Vicky, n'est-ce pas?
Vicky Harp: Eh bien, en fait, certaines des solutions d'otages, comme SQL Azure, je pense avoir de très bonnes méthodes de détection basées sur l'apprentissage automatique. C'est probablement ce que nous allons voir à l'avenir, c'est quelque chose qu'il essaie de trouver avec la taille unique. Je pense que la réponse a été qu'il n'y a pas de taille unique, mais nous avons des machines qui peuvent apprendre quelle est votre taille et vous assurer que vous vous y adaptez, non? Et de sorte que si vous avez un faux positif, c'est parce que vous faites quelque chose d'inhabituel, ce n'est pas parce que vous avez dû passer au travers et identifier minutieusement tout ce que votre application pourrait faire.
Je pense que l'une des raisons pour lesquelles cela est vraiment si prolifique est que les gens comptent toujours sur des applications tierces et des applications de fournisseurs de logiciels indépendants et celles-ci sont étalées au fil du temps. Donc, vous parlez d'une organisation qui a acheté une application d'ingénierie qui a été écrite en 2001. Et ils ne l'ont pas mise à jour, car il n'y a pas eu de changements fonctionnels majeurs depuis lors, et l'auteur original de celle-ci était en quelque sorte, ils n'étaient pas un ingénieur, ils n'étaient pas un expert en sécurité de base de données, ils n'avaient pas fait les choses correctement dans l'application et ils finissaient par être un vecteur. Je crois comprendre que - je pense que c'était la violation de données Target, la très grande - le vecteur d'attaque était passé par l'un de leurs fournisseurs de climatisation, n'est-ce pas? Donc, le problème avec ces tiers, vous pouvez, si vous possédez votre propre boutique de développement, vous pouvez peut-être avoir certaines de ces règles en place, le faire de manière générique chaque fois. En tant qu'organisation, vous pouvez avoir des centaines, voire des milliers d'applications en cours d'exécution, avec tous les différents profils. Je pense que c'est là que l'apprentissage automatique va venir et commencer à nous aider beaucoup.
Mon histoire de guerre était une vie éducative. J'ai pu voir une attaque par injection SQL, et quelque chose qui ne m'était jamais venu à l'esprit est l'utilisation d'un SQL simple et lisible. Je fais ces choses appelées cartes de vacances P SQL obscurcies; J'aime le faire, vous rendez ce SQL aussi déroutant que possible. Il y a un concours de code C ++ obscurci qui se déroule depuis des décennies maintenant, et c'est un peu la même idée. Donc, ce que vous avez réellement obtenu, c'est l'injection SQL qui était dans un champ de chaîne ouverte, il a fermé la chaîne, il a mis le point-virgule, puis il a mis la commande exec qui avait ensuite une série de nombres et ensuite il utilisait essentiellement le casting casting pour convertir ces nombres en binaire, puis en les convertissant en valeurs de caractères, puis en exécutant cela. Donc, ce n'est pas comme si vous aviez vu quelque chose qui disait: «Supprimer le démarrage de la table de production», il était en fait bourré de champs numériques qui le rendaient beaucoup plus difficile à voir. Et même une fois que vous l'avez vu, pour identifier ce qui se passait, il a fallu de vrais coups SQL, pour pouvoir comprendre ce qui se passait, à quel moment bien sûr le travail avait déjà été fait.
Robin Bloor: Et l'une des choses qui n'est qu'un phénomène dans l'ensemble du monde du piratage est que si quelqu'un trouve une faiblesse et que cela se trouve dans un logiciel généralement vendu, vous savez, l'un des premiers problèmes est le mot de passe de la base de données qui vous a été donné lors de l'installation d'une base de données, beaucoup de bases de données n'étaient en fait qu'un défaut. Et beaucoup d'administrateurs de base de données n'ont tout simplement jamais changé cela, et vous pourriez donc réussir à entrer dans le réseau à ce moment-là; vous pouvez simplement essayer ce mot de passe et si cela fonctionne, eh bien, vous venez de gagner à la loterie. Et la chose intéressante est que toutes ces informations sont diffusées de manière très efficace et efficace parmi les communautés de piratage sur les sites Web darknet. Et ils le savent. Donc, ils peuvent à peu près faire un balayage de ce qui existe, trouver quelques exemples et simplement lancer automatiquement un exploit de piratage, et ils y sont. Et c'est, je pense, que beaucoup de gens qui sont au moins sur à la périphérie de tout cela, je ne comprends pas vraiment à quelle vitesse le réseau de piratage réagit à la vulnérabilité.
Vicky Harp: Oui, cela soulève en fait une autre chose que je voulais mentionner avant de passer à autre chose, c'est cette notion de bourrage des informations d'identification, qui est quelque chose qui apparaît beaucoup, c'est-à-dire qu'une fois que vos informations d'identification ont été volées pour quelqu'un n'importe où, sur n'importe quel site, ces informations d'identification vont être tentées d'être réutilisées dans tous les domaines. Donc, si vous utilisez des mots de passe en double, disons, si vos utilisateurs le sont, même, disons-le de cette façon, quelqu'un pourrait être en mesure d'accéder via ce qui semble être un ensemble d'informations d'identification complètement valide. Donc, disons que j'ai utilisé mon même mot de passe sur Amazon et dans ma banque, et aussi sur un forum et que le logiciel du forum a été piraté, eh bien, ils ont mon nom d'utilisateur et mon mot de passe. Et ils peuvent ensuite utiliser le même nom d'utilisateur sur Amazon, ou ils l'utilisent à la banque. Et en ce qui concerne la banque, c'était une connexion complètement valide. Maintenant, vous pouvez prendre des mesures néfastes via l'accès entièrement autorisé.
Donc, cela revient à ce que je disais sur les violations internes et les usages internes. Si vous avez des personnes dans votre organisation qui utilisent leur même mot de passe pour l'accès interne qu'elles le font pour un accès externe, vous avez la possibilité que quelqu'un vienne vous usurper l'identité via une violation sur un autre site que vous don sais même pas. Et ces données sont diffusées très rapidement. Il y a des listes de, je pense que la charge la plus récente à «avoir été pwned» par Troy Hunt, il a dit qu'il avait un demi-milliard de titres de compétences, ce qui est - si vous considérez le nombre de personnes sur la planète - c'est un très grand nombre d'informations d'identification qui ont été mises à disposition pour le remplissage des informations d'identification.
Je vais donc approfondir un peu et parler de la sécurité de SQL Server. Maintenant, je veux dire que je ne vais pas essayer de vous donner tout ce que vous devez savoir pour sécuriser votre SQL Server dans les 20 prochaines minutes; cela semble un peu difficile. Donc, pour commencer, je veux dire qu'il y a des groupes en ligne et des ressources en ligne que vous pouvez certainement Google, il y a des livres, il y a des documents sur les meilleures pratiques sur Microsoft, il y a un chapitre virtuel sur la sécurité pour les associés professionnels de SQL Server, ils sont sur security.pass.org et ils ont, je crois, des webémissions mensuelles et des enregistrements de webémissions pour passer en revue le vrai et en profondeur comment faire la sécurité de SQL Server. Mais ce sont certaines des choses que moi, en vous parlant en tant que professionnels des données, en tant que professionnels de l'informatique, en tant que DBA, je veux que vous sachiez ce que vous devez savoir sur la sécurité de SQL Server.
La première est donc la sécurité physique. Ainsi, comme je l'ai dit plus tôt, le vol de supports physiques est toujours extrêmement courant. Et donc le scénario que j'ai donné avec la machine de développement, avec une copie de votre base de données sur la machine de développement qui est volée - c'est un vecteur extrêmement courant, c'est un vecteur dont vous devez être conscient et essayer de prendre des mesures contre. C'est également vrai pour la sécurité de la sauvegarde, donc chaque fois que vous sauvegardez vos données, vous devez les sauvegarder cryptées, vous devez les sauvegarder dans un emplacement sécurisé. Souvent, ces données qui étaient vraiment protégées dans la base de données, dès qu'elles commencent à pénétrer dans des emplacements périphériques, sur des machines de développement, sur des machines de test, nous faisons un peu moins attention au correctif, nous obtenons un peu moins attention aux personnes qui y ont accès. La prochaine chose que vous savez, vous avez des sauvegardes de base de données non chiffrées stockées sur un partage public de votre organisation, disponibles pour l'exploitation par un grand nombre de personnes différentes. Alors, pensez à la sécurité physique et aussi simple que cela, quelqu'un peut-il monter et simplement mettre une clé USB dans votre serveur? Vous ne devriez pas permettre cela.
Article suivant Je veux que vous pensiez à la sécurité de la plate-forme, donc au système d'exploitation à jour, aux correctifs à jour. C'est très ennuyeux d'entendre des gens parler de rester sur des versions plus anciennes de Windows, des versions plus anciennes de SQL Server, pensant que le seul coût en jeu est le coût de la mise à niveau des licences, ce qui n'est pas le cas. Nous sommes en sécurité, c'est un ruisseau qui continue à descendre et avec le temps, plus d'exploits sont trouvés. Microsoft dans ce cas, et d'autres groupes selon le cas, ils mettront à jour les anciens systèmes à un certain point, et finalement ils tomberont en panne et ils ne les mettront plus à jour, car c'est juste un processus sans fin de entretien.
Et donc, vous devez être sur un système d'exploitation pris en charge et vous devez être à jour sur vos correctifs, et nous l'avons constaté récemment, comme avec Shadow Brokers, dans certains cas, Microsoft peut avoir un aperçu des failles de sécurité majeures à venir, avant eux être rendu public, avant la divulgation, alors ne vous laissez pas déranger. Je préfère ne pas prendre le temps d'arrêt, je préfère attendre et lire chacun d'eux et décider. Vous ne saurez peut-être pas sa valeur avant quelques semaines après avoir découvert pourquoi ce patch s'est produit. Alors, restez au courant de cela.
Vous devez configurer votre pare-feu. La violation de SNB était choquante de voir combien de personnes exécutaient d'anciennes versions de SQL Server avec le pare-feu complètement ouvert à Internet, afin que tout le monde puisse entrer et faire ce qu'il voulait avec ses serveurs. Vous devez utiliser un pare-feu. Le fait que vous deviez occasionnellement configurer les règles ou faire des exceptions spécifiques pour la façon dont vous faites vos affaires est un prix correct à payer. Vous devez contrôler la surface de vos systèmes de base de données - co-installez-vous des services ou des serveurs Web comme IIS sur la même machine? Partager le même espace disque, partager le même espace mémoire que vos bases de données et vos données privées? Essayez de ne pas le faire, essayez de l'isoler, gardez la surface plus petite, de sorte que vous n'ayez pas à vous soucier autant de vous assurer que tout cela est sécurisé au-dessus de la base de données. Vous pouvez en quelque sorte les séparer physiquement, la plate-forme, les séparer, vous donner un peu de marge de manœuvre.
Vous ne devriez pas avoir des super-administrateurs partout dans le monde capables d'avoir accès à toutes vos données. Les comptes d'administration du système d'exploitation peuvent ne pas nécessairement avoir besoin d'accéder à votre base de données ou aux données sous-jacentes de la base de données via le cryptage, dont nous parlerons dans une minute. Et l'accès aux fichiers de base de données, vous devez également restreindre cela. C'est un peu idiot si vous deviez dire, eh bien, quelqu'un ne peut pas accéder à ces bases de données via la base de données; SQL Server lui-même ne leur permettra pas d'y accéder, mais s'ils peuvent alors faire le tour, prendre une copie du fichier MDF réel, le déplacer simplement pour le joindre à leur propre SQL Server, vous n'avez pas vraiment accompli très beaucoup.
Le cryptage, donc le cryptage est cette fameuse épée bidirectionnelle. Il y a beaucoup de différents niveaux de cryptage que vous pouvez faire au niveau du système d'exploitation et la manière contemporaine de faire les choses pour SQL et Windows est avec BitLocker et au niveau de la base de données, il est appelé TDE ou cryptage de données transparent. Donc, ce sont les deux façons de garder vos données cryptées au repos. Si vous souhaitez conserver vos données cryptées de manière plus complète, vous pouvez le faire crypté - désolé, j'ai en quelque sorte pris de l'avance. Vous pouvez établir des connexions cryptées de sorte que chaque fois qu'elles sont en transit, elles soient toujours cryptées de sorte que si quelqu'un écoute ou a un homme au milieu d'une attaque, vous avez une certaine protection de ces données sur le câble. Vos sauvegardes doivent être chiffrées, comme je l'ai dit, elles peuvent être accessibles aux autres et ensuite, si vous voulez qu'elles soient chiffrées en mémoire et pendant l'utilisation, nous avons le chiffrement des colonnes et puis, SQL 2016 a cette notion de «toujours chiffré », où il est effectivement chiffré sur disque, en mémoire, sur le câble, jusqu'à l'application qui utilise réellement les données.
Maintenant, tout ce cryptage n'est pas gratuit: il y a des frais généraux de processeur, il y a parfois pour le cryptage des colonnes et le cas toujours crypté, il y a des implications sur les performances en termes de capacité à faire des recherches sur ces données. Cependant, ce cryptage, s'il est correctement mis en place, cela signifie que si quelqu'un devait accéder à vos données, les dommages sont considérablement réduits, car ils ont pu l'obtenir et ils ne peuvent rien faire avec. Cependant, c'est aussi la façon dont fonctionne le ransomware, c'est que quelqu'un entre et allume ces éléments, avec son propre certificat ou son propre mot de passe et vous n'y avez pas accès. C'est pourquoi il est important de s'assurer que vous le faites et que vous y avez accès, mais vous ne le donnez pas, ouvert aux autres et aux attaquants.
Et puis, les principes de sécurité - je ne vais pas m'étendre sur ce point, mais assurez-vous que tous les utilisateurs ne s'exécutent pas dans SQL Server en tant que super administrateur. Vos développeurs peuvent le vouloir, différents utilisateurs peuvent le vouloir - ils sont frustrés de devoir demander l'accès à des éléments individuels - mais vous devez être diligent à ce sujet, et même si cela peut être plus compliqué, donnez accès aux objets et les bases de données et les schémas qui sont valables pour le travail en cours, et il y a un cas spécial, peut-être que cela signifie une connexion spéciale, cela ne signifie pas nécessairement une élévation des droits, pour l'utilisateur moyen du cas.
Et puis, il y a des considérations de conformité réglementaire qui vont dans ce sens et certains cas peuvent en fait se déclencher à leur manière - il y a donc HIPAA, SOX, PCI - il y a toutes ces différentes considérations. Et lorsque vous passerez un audit, vous devrez montrer que vous prenez des mesures pour rester en conformité avec cela. Et donc, c'est beaucoup de choses à suivre, je dirais en tant que liste de tâches DBA, vous essayez d'assurer la configuration du cryptage physique de sécurité, vous essayez de vous assurer que l'accès à ces données est audité à des fins de conformité, en veillant à ce que vos colonnes sensibles, que vous sachiez ce qu'elles sont, où elles se trouvent, lesquelles vous devez chiffrer et regarder l'accès. Et assurez-vous que les configurations sont conformes aux directives réglementaires auxquelles vous êtes soumis. Et vous devez garder tout cela à jour car les choses changent.
Donc, c'est beaucoup à faire, et donc si je le laissais juste là, je dirais allez faire ça. Mais il y a beaucoup d'outils différents pour cela, et donc, si je peux au cours des dernières minutes, je voulais vous montrer certains des outils que nous avons à IDERA pour cela. Et les deux dont je voulais parler aujourd'hui sont SQL Secure et SQL Compliance Manager. SQL Secure est notre outil pour aider à identifier le type de vulnérabilités de configuration. Vos politiques de sécurité, vos autorisations utilisateur, vos configurations de surface. Et il a des modèles pour vous aider à vous conformer aux différents cadres réglementaires. C'est en soi, cette dernière ligne, pourrait être la raison pour laquelle les gens y songent. Parce que lire ces différentes réglementations et identifier ce que cela signifie, PCI et ensuite le ramener jusqu'à mon SQL Server dans ma boutique, cela représente beaucoup de travail. C'est quelque chose pour lequel vous pourriez payer beaucoup d'argent de consultation; nous sommes allés et avons fait cette consultation, nous avons travaillé avec les différentes sociétés d'audit, etc., pour trouver ce que sont ces modèles - quelque chose qui est susceptible de passer un audit s'ils sont en place. Et puis vous pouvez utiliser ces modèles et les voir, dans votre environnement.
Nous avons également un autre type d'outil frère sous la forme de SQL Compliance Manager, et c'est là que SQL Secure concerne les paramètres de configuration. Le gestionnaire de conformité SQL consiste à voir ce qui a été fait par qui, quand. Il s'agit donc d'un audit, il vous permet de surveiller l'activité au fur et à mesure qu'elle se produit et vous permet de détecter et de suivre qui accède aux choses. Est-ce que quelqu'un, l'exemple prototypique étant une célébrité, a été enregistré dans votre hôpital, est-ce que quelqu'un allait chercher ses informations, juste par curiosité? Avaient-ils une raison de le faire? Vous pouvez jeter un œil à l'historique de l'audit et voir ce qui se passait, qui accédait à ces enregistrements. Et vous pouvez identifier ces outils pour vous aider à identifier les colonnes sensibles, vous n'avez donc pas nécessairement à lire et à faire tout cela vous-même.
Donc, si vous le permettez, je vais aller de l'avant et vous montrer certains de ces outils ici au cours de ces dernières minutes - et s'il vous plaît ne le considérez pas comme une démo approfondie. Je suis un chef de produit, pas un ingénieur commercial, donc je vais vous montrer certaines des choses qui, selon moi, sont pertinentes pour cette discussion. Voici donc notre produit SQL Secure. Et comme vous pouvez le voir ici, j'ai une sorte de rapport de haut niveau. Je l'ai fait hier, je pense. Et cela me montre certaines choses qui ne sont pas configurées correctement et certaines choses qui sont configurées correctement. Donc, vous pouvez voir qu'il y a pas mal de plus de 100 vérifications différentes que nous avons faites ici. Et je peux voir que mon cryptage de sauvegarde sur les sauvegardes que j'ai faites, je n'ai pas utilisé le cryptage de sauvegarde. Mon compte SA, nommé explicitement «compte SA» n'est pas désactivé ou renommé. Le rôle de serveur public a une autorisation, donc ce sont toutes des choses que je voudrais envisager de modifier.
J'ai la politique configurée ici, donc si je voulais mettre en place une nouvelle politique, à appliquer à mes serveurs, nous avons toutes ces politiques intégrées. Donc, je vais utiliser un modèle de politique existant et vous pouvez voir que j'ai CIS, HIPAA, PCI, SR et en cours, et nous sommes en train d'ajouter continuellement des politiques supplémentaires, en fonction des choses dont les gens ont besoin sur le terrain . Et vous pouvez également créer une nouvelle stratégie, donc si vous savez ce que recherche votre auditeur, vous pouvez la créer vous-même. Et puis, lorsque vous le faites, vous pouvez choisir parmi tous ces différents paramètres, ce que vous devez avoir défini, dans certains cas, vous en avez - permettez-moi de revenir en arrière et de trouver l'un des prédéfinis. C'est pratique, je peux choisir, disons, HIPAA - j'ai déjà HIPAA, ma mauvaise - PCI, puis, en cliquant ici, je peux voir la référence externe à la section de la réglementation à laquelle cela est lié. Donc, cela vous aidera plus tard, lorsque vous essayez de comprendre pourquoi je règle cela? Pourquoi j'essaye de regarder ça? À quelle section est-ce lié?
Cela a également un bel outil dans la mesure où il vous permet d'entrer et de parcourir vos utilisateurs, donc l'une des choses délicates à propos de l'exploration de vos rôles d'utilisateur, c'est qu'en fait, je vais jeter un œil ici. Donc, si je montre des autorisations pour mon, voyons, choisissons un utilisateur ici. Afficher les autorisations. Je peux voir les autorisations attribuées pour ce serveur, mais je peux cliquer ici et calculer les autorisations effectives, et cela me donnera la liste complète basée sur, donc dans ce cas, c'est admin, donc ce n'est pas si excitant, mais Je pourrais passer en revue et choisir les différents utilisateurs et voir quelles sont leurs autorisations effectives, en fonction de tous les différents groupes auxquels ils pourraient appartenir. Si vous essayez de le faire vous-même, cela peut être un peu compliqué, pour comprendre, OK, cet utilisateur est membre de ces groupes et a donc accès à ces choses via des groupes, etc.
Donc, la façon dont ce produit fonctionne, c'est qu'il prend des instantanés, donc ce n'est vraiment pas un processus très difficile de prendre régulièrement un instantané du serveur, puis il conserve ces instantanés au fil du temps afin que vous puissiez comparer les modifications. Il ne s'agit donc pas d'une surveillance continue au sens traditionnel d'un outil de surveillance des performances; c'est quelque chose que vous pourriez avoir configuré pour fonctionner une fois par nuit, une fois par semaine - quelle que soit la fréquence à laquelle vous pensez que cela est valable - de sorte que chaque fois que vous faites l'analyse et que vous en faites un peu plus, vous êtes en fait juste travailler dans notre outil. Vous ne vous connectez pas tellement à votre serveur, c'est donc un joli petit outil avec lequel travailler, pour vous conformer à ce genre de paramètres statiques.
L'autre outil que je veux vous montrer est notre outil Compliance Manager. Le responsable de la conformité va surveiller de manière plus continue. Et cela va voir qui fait quoi sur votre serveur et vous permettre d'y jeter un œil. Donc, ce que j'ai fait ici, au cours des dernières heures, j'ai essayé de créer quelques petits problèmes. Donc, ici, je dois savoir si c'est un problème ou non, je le sais peut-être, quelqu'un a en fait créé un identifiant et l'a ajouté à un rôle serveur. Donc, si j'entre et regarde ça, je peux voir - je suppose que je ne peux pas faire un clic droit là-bas, je peux voir ce qui se passe. Donc, c'est mon tableau de bord et je peux voir que j'ai eu un certain nombre d'échecs de connexion un peu plus tôt aujourd'hui. J'avais un tas d'activités de sécurité, une activité DBL.
Alors, permettez-moi de passer à mes événements d'audit et jeter un oeil. Ici, j'ai mes événements d'audit regroupés par catégorie et objet cible, donc si je jette un œil à cette sécurité plus tôt, je peux voir DemoNewUser, cette connexion au serveur de création s'est produite. Et je peux voir que la SA de connexion a créé ce compte DemoNewUser, ici, à 14 h 42. Et puis, je peux voir qu'à son tour, ajoutez la connexion au serveur, ce DemoNewUser a été ajouté au groupe d'administration du serveur, ils ont été ajoutés au groupe configuration du groupe d'administration, ils ont été ajoutés au groupe sysadmin. C'est donc quelque chose que je voudrais savoir s'il s'est passé. Je l'ai également configuré pour que les colonnes sensibles de mes tables soient suivies, afin que je puisse voir qui y a accédé.
Donc, ici, j'ai quelques sélections qui se sont produites sur ma table personnelle, d'Adventure Works. Et je peux jeter un coup d'œil et voir que l'utilisateur SA sur la table Adventure Works a fait une sélection parmi les dix étoiles de la personne dot. Alors peut-être que dans mon organisation, je ne veux pas que les gens choisissent des étoiles par personne ou par personne, ou je m'attends à ce que seuls certains utilisateurs le fassent, et donc je vais voir cela ici. Donc, ce dont vous avez besoin en termes d'audit, nous pouvons le configurer en fonction du cadre et c'est un peu plus un outil intensif. Il utilise SQL Trace ou des événements SQLX, selon la version. Et c'est quelque chose que vous devrez avoir une certaine marge sur votre serveur pour l'adapter, mais c'est une de ces choses, un peu comme une assurance, ce qui est bien si nous n'avions pas besoin d'avoir une assurance automobile - ce serait un coût que nous n'aurions pas à prendre - mais si vous avez un serveur où vous devez savoir qui fait quoi, vous devrez peut-être avoir un peu de marge supplémentaire et un outil comme celui-ci pour le faire. Que vous utilisiez notre outil ou que vous le déployiez vous-même, vous serez en fin de compte responsable de la possession de ces informations à des fins de conformité réglementaire.
Donc, comme je l'ai dit, pas une démo approfondie, juste un petit résumé rapide. Je voulais également vous montrer un petit outil rapide et gratuit sous la forme de cette recherche de colonnes SQL, qui est quelque chose que vous pouvez utiliser pour identifier les colonnes de votre environnement qui semblent être des informations sensibles. Nous avons donc un certain nombre de configurations de recherche dans lesquelles il recherche les différents noms de colonnes qui contiennent généralement des données sensibles, puis j'ai toute cette liste qui a été identifiée. J'en ai 120, puis je les ai exportés ici, afin que je puisse les utiliser pour dire, allons chercher et m'assurer que je suis en train de suivre l'accès au deuxième prénom, une personne par personne ou la taxe de vente taux, etc.
Je sais que nous arrivons à la fin de notre séjour ici. Et c'est tout ce que j'avais à vous montrer, donc des questions pour moi?
Eric Kavanagh: J'en ai quelques bons pour vous. Permettez-moi de faire défiler ceci ici. L'un des participants posait une très bonne question. L'une d'elles concerne la taxe sur la performance, je sais donc qu'elle varie d'une solution à l'autre, mais avez-vous une idée générale de la taxe sur la performance pour l'utilisation des outils de sécurité IDERA?
Vicky Harp: Donc, sur le SQL Secure, comme je l'ai dit, c'est très bas, ça va juste prendre des instantanés occasionnels. Et même si vous avez exécuté assez souvent, il obtient des informations statiques sur les paramètres, et c'est donc très faible, presque négligeable. En termes de Compliance Manager, c'est …
Eric Kavanagh: Comme un pour cent?
Vicky Harp: Si je devais donner un pourcentage, oui, ce serait un pour cent ou moins. Ce sont des informations de base sur l'ordre d'utilisation de SSMS et l'accès à l'onglet Sécurité et à l'extension des choses. Du côté de la conformité, c'est beaucoup plus élevé - c'est pourquoi j'ai dit qu'il fallait un peu de marge - c'est un peu comme si c'était bien au-delà de ce que vous avez en termes de surveillance des performances. Maintenant, je ne veux pas effrayer les gens, l'astuce avec la surveillance de la conformité, et si c'est un audit, c'est de s'assurer que vous auditez uniquement ce sur quoi vous allez agir. Donc, une fois que vous avez filtré pour dire: «Hé, je veux savoir quand les gens accèdent à ces tables particulières, et je veux savoir à chaque fois que les gens y accèdent, prendre ces actions particulières», alors ça va être basé sur la fréquence de ces choses qui se passe et la quantité de données que vous générez. Si vous dites: «Je veux que le texte SQL complet de chaque sélection qui se produise sur l'une de ces tables», cela va être probablement des gigaoctets et des gigaoctets de données qui doivent être analysés par SQL Server stockés déplacés vers notre produit, etc.
Si vous le limitez à un - ce sera aussi plus d'informations que vous ne le feriez probablement. Si vous pouviez le réduire à un ensemble plus petit, de sorte que vous obteniez quelques centaines d'événements par jour, alors c'est évidemment beaucoup plus bas. Donc, à certains égards, le ciel est la limite. Si vous activez tous les paramètres sur tous les contrôles pour tout, alors oui, ce sera un impact de performance de 50%. Mais si vous allez le transformer en un niveau plus modéré et considéré, je pourrais peut-être un globe oculaire de 10%? C'est vraiment, c'est une de ces choses que ça va être très dépendant de votre charge de travail.
Eric Kavanagh: Oui, c'est ça. Il y a une autre question sur le matériel. Et puis, il y a des fournisseurs de matériel qui se lancent dans le jeu et collaborent vraiment avec les fournisseurs de logiciels et j'ai répondu par la fenêtre Q&R. Je connais un cas particulier, celui de Cloudera travaillant avec Intel où Intel a fait cet énorme investissement, et une partie du calcul était que Cloudera obtiendrait un accès précoce à la conception de puces, et serait ainsi en mesure d'intégrer la sécurité dans le niveau de puce du l'architecture, ce qui est assez impressionnant. Mais c'est quand même quelque chose qui va sortir et qui peut encore être exploité des deux côtés. Connaissez-vous des tendances ou des tendances des fournisseurs de matériel à collaborer avec les fournisseurs de logiciels sur le protocole de sécurité?
Vicky Harp: Oui, en fait, je crois que Microsoft a collaboré pour avoir une partie, comme, de l'espace mémoire pour une partie du travail de cryptage se fait en fait sur des puces distinctes sur les cartes mères qui sont distinctes de votre mémoire principale, de sorte que certains de ce genre de choses est physiquement séparé. Et je crois que c'est en fait quelque chose qui est venu de Microsoft en termes de communication avec les fournisseurs pour dire: «Pouvons-nous trouver un moyen de faire cela, en gros c'est de la mémoire non adressable, je ne peux pas par un débordement de tampon arriver à ce souvenir, parce qu'il n'est même pas là, dans un certain sens, donc je sais que cela se produit. »
Eric Kavanagh: Ouais.
Vicky Harp: Ce sera évidemment les très gros vendeurs, très probablement.
Eric Kavanagh: Ouais. Je suis curieux de surveiller cela, et peut-être Robin, si vous avez une seconde, je serais curieux de connaître votre expérience au fil des ans, car encore une fois, en termes de matériel, en termes de la science des matériaux réelle qui va dans ce que vous rassemblez du côté du fournisseur, cette information pourrait aller des deux côtés, et théoriquement nous allons des deux côtés assez rapidement, alors y a-t-il un moyen d'utiliser le matériel plus soigneusement, du point de vue de la conception pour renforcer la sécurité? Qu'est-ce que tu penses? Robin, tu es muet?
Robin Bloor: Ouais, ouais. Je suis désolé, je suis là; Je réfléchis juste à la question. Pour être honnête, je n'ai pas d'opinion, c'est un domaine que je n'ai pas étudié en profondeur, donc je suis un peu, vous savez, je peux inventer une opinion, mais je ne sais pas vraiment. Je préfère que les choses soient sécurisées dans les logiciels, c'est juste ma façon de jouer, en gros.
Eric Kavanagh: Ouais. Eh bien, les amis, nous avons brûlé une heure et changé ici. Un grand merci à Vicky Harp pour son temps et son attention - pour tout votre temps et votre attention; nous vous remercions de vous présenter pour ces choses. C'est une grosse affaire; ça ne va pas disparaître de sitôt. C'est un jeu de chat et de souris qui va continuer et continuer. Et donc nous sommes reconnaissants que certaines entreprises soient là-bas, concentrées sur l'activation de la sécurité, mais comme Vicky a même fait allusion et parlé un peu dans sa présentation, à la fin de la journée, ce sont les gens dans les organisations qui doivent réfléchir très attentivement à propos de ces attaques de phishing, ce genre d'ingénierie sociale, et gardez vos ordinateurs portables - ne le laissez pas au café! Changez votre mot de passe, faites les bases et vous obtiendrez 80% du chemin.
Donc, avec ça, les amis, nous allons vous dire au revoir, merci encore pour votre temps et votre attention. Nous vous rattraperons la prochaine fois, faites attention. Bye Bye.
Vicky Harp: Au revoir, merci.
