Accueil Sécurité La nouvelle norme: faire face à la réalité d'un monde incertain

La nouvelle norme: faire face à la réalité d'un monde incertain

Anonim

Par Techopedia Staff, 27 octobre 2016

À retenir: l' hôte Eric Kavanagh discute de la sécurité des bases de données avec Robin Bloor, Dez Blanchfield et Ignacio Rodriguez d'IDERA.

Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.

Eric Kavanagh: Bonjour et bienvenue, encore une fois, à Hot Technologies. Je m'appelle Eric Kavanagh; Je serai votre hôte pour la webdiffusion aujourd'hui et c'est un sujet brûlant et ça ne sera jamais un sujet brûlant. C'est un sujet brûlant maintenant à cause, franchement, de toutes les violations dont nous entendons parler et je peux vous garantir que cela ne disparaîtra jamais. Donc, le sujet d'aujourd'hui, le titre exact de l'émission que je devrais dire, est «La nouvelle normalité: faire face à la réalité d'un monde non sécurisé». C'est exactement de cela qu'il s'agit.

Nous avons votre hôte, le vôtre vraiment, juste là. Il y a quelques années, remarquez, je devrais probablement mettre à jour ma photo; c'était en 2010. Le temps passe vite. Envoyez-moi un e-mail avec si vous souhaitez faire des suggestions. Il s'agit donc de notre diapositive «chaude» standard pour Hot Technologies. Le but de ce spectacle est vraiment de définir un espace particulier. Aujourd'hui, nous parlons donc de sécurité, évidemment. Nous prenons un angle très intéressant là-dessus, en fait, avec nos amis de l'IDERA.

Et je soulignerai que vous, en tant que membres de notre public, jouez un rôle important dans le programme. Veuillez ne pas être timide. Envoyez-nous une question à tout moment et nous la mettrons en file d'attente pour le Q&R si nous avons assez de temps pour cela. Nous avons trois personnes en ligne aujourd'hui, le Dr Robin Bloor, Dez Blanchfield et Ignacio Rodriguez, qui appelle depuis un endroit non divulgué. Alors tout d'abord, Robin, tu es le premier présentateur. Je te remets les clés. Emportez-le.

Dr Robin Bloor: D'accord, merci pour cela, Eric. Sécurisation de la base de données - Je suppose que nous pourrions dire que la probabilité que les données les plus précieuses que toute entreprise préside réellement se trouve dans une base de données. Il y a donc toute une série de questions de sécurité dont nous pourrions parler. Mais ce que je pensais faire, c'était parler du sujet de la sécurisation de la base de données. Je ne veux rien retirer de la présentation qu'Ignacio va faire.

Commençons donc par, il est facile de considérer la sécurité des données comme une cible statique, mais ce n'est pas le cas. C'est une cible mouvante. Et cela est assez important à comprendre dans le sens où la plupart des environnements informatiques, en particulier les environnements informatiques des grandes entreprises, changent tout le temps. Et parce qu'ils changent tout le temps, la surface d'attaque, les zones où quelqu'un peut tenter, d'une manière ou d'une autre, de l'intérieur ou de l'extérieur, de compromettre la sécurité des données, change tout le temps. Et lorsque vous faites quelque chose comme, vous mettez à niveau une base de données, vous ne savez pas si vous venez de créer une sorte de vulnérabilité pour vous-même. Mais vous n'êtes pas au courant et ne le découvrirez peut-être jamais jusqu'à ce que quelque chose de moche se produise.

Il y a un bref aperçu de la sécurité des données. Tout d'abord, le vol de données n'est pas nouveau et les données précieuses sont ciblées. Il est normalement facile de déterminer pour une organisation les données dont elle a besoin pour protéger le plus. Un fait curieux est que le premier, ou ce que nous pourrions prétendre être le premier ordinateur, a été construit par les services de renseignement britanniques pendant la Seconde Guerre mondiale dans un seul but, et c'était de voler des données des communications allemandes.

Le vol de données fait donc partie du secteur informatique depuis ses débuts. C'est devenu beaucoup plus grave avec la naissance d'Internet. Je regardais un journal du nombre de violations de données qui se produisaient année après année après année. Et le nombre avait grimpé au-dessus de 100 en 2005 et à partir de ce moment, il a eu tendance à empirer de plus en plus chaque année.

De plus grandes quantités de données volées et un plus grand nombre de piratages ont lieu. Et ce sont les hacks qui sont signalés. Il y a un très grand nombre d'incidents qui se produisent lorsque l'entreprise ne dit jamais rien parce qu'il n'y a rien qui l'oblige à dire quoi que ce soit. Ainsi, la violation de données reste silencieuse. Il existe de nombreux acteurs dans le secteur du piratage: gouvernements, entreprises, groupes de hackers, particuliers.

Une chose que je pense juste qu'il est intéressant de mentionner, quand je suis allé à Moscou, je pense que c'était il y a environ quatre ans, c'était une conférence sur les logiciels à Moscou, je parlais à un journaliste spécialisé dans le domaine du piratage de données. Et il a affirmé - et je suis sûr qu'il a raison, mais je ne le sais pas, sauf qu'il est la seule personne qui m'en a parlé, mais - il y a une entreprise russe appelée The Russian Business Network, elle a probablement un russe nom, mais je pense que c'est la traduction anglaise de celui-ci, qui est en fait embauché pour pirater.

Donc, si vous êtes une grande organisation partout dans le monde et que vous voulez faire quelque chose pour nuire à vos concurrents, vous pouvez embaucher ces personnes. Et si vous embauchez ces personnes, vous obtenez un déni très plausible quant à savoir qui était derrière le hack. Parce que si on découvre du tout qui est derrière le hack, cela indiquera que c'est probablement quelqu'un en Russie qui l'a fait. Et il ne semblera pas que ce soit vous qui tentiez de nuire à un concurrent. Et je crois que le Russian Business Network a en fait été embauché par les gouvernements pour faire des choses comme pirater les banques pour essayer de savoir comment l'argent du terrorisme se déplace. Et cela est fait avec un déni plausible de la part des gouvernements qui n'admettront jamais qu'ils l'ont fait.

La technologie d'attaque et de défense évolue. Il y a longtemps, j'allais au Chaos Club. C'était un site en Allemagne où vous pouviez vous inscrire et vous pouviez simplement suivre les conversations de différentes personnes et voir ce qui était disponible. Et je l'ai fait quand je regardais la technologie de sécurité, je pense vers 2005. Et je l'ai fait juste pour voir ce qui se passait à l'époque et ce qui m'a le plus étonné, c'est le nombre de virus, alors qu'il s'agissait essentiellement d'un système open source Je continuais et les gens qui avaient écrit des virus ou des virus améliorés collaient simplement le code là-haut pour que quiconque puisse l'utiliser. Et j'ai pensé à l'époque que les pirates pouvaient être très, très intelligents, mais il y a énormément de pirates qui ne sont pas nécessairement intelligents du tout, mais ils utilisent des outils intelligents. Et certains de ces outils sont remarquablement intelligents.

Et le dernier point ici: les entreprises ont un devoir de vigilance sur leurs données, qu'elles en soient propriétaires ou non. Et je pense que cela devient de plus en plus réalisé qu'auparavant. Et cela devient de plus en plus, disons, cher pour une entreprise de subir un hack. Concernant les hackers, ils peuvent être localisés n'importe où, peut-être difficiles à traduire en justice même s'ils sont correctement identifiés. Beaucoup d'entre eux sont très qualifiés. Des ressources considérables, ils ont des botnets partout. La récente attaque DDoS qui s'est produite aurait provenu de plus d'un milliard d'appareils. Je ne sais pas si c'est vrai ou si c'est juste un journaliste utilisant un numéro rond, mais certainement un grand nombre de robots ont été utilisés pour lancer une attaque sur le réseau DNS. Certaines entreprises rentables, il y a des groupes gouvernementaux, il y a la guerre économique, il y a la cyberguerre, tout se passe là-bas, et c'est peu probable, je pense que nous disions dans le pré-show, il est peu probable que cela prenne fin.

Conformité et réglementation - il y a un certain nombre de choses qui se passent réellement. Il y a beaucoup d'initiatives de conformité qui sont basées sur le secteur, vous savez - le secteur pharmaceutique ou le secteur bancaire ou le secteur de la santé - pourraient avoir des initiatives spécifiques que les gens peuvent suivre, différents types de meilleures pratiques. Mais il existe également de nombreuses réglementations officielles qui, parce qu'elles sont légales, sont assorties de sanctions pour quiconque contrevient à la loi. Les exemples américains sont HIPAA, SOX, FISMA, FERPA, GLBA. Il existe certaines normes, PCI-DSS est une norme pour les sociétés de cartes. ISO / CEI 17799 est basée sur la recherche d'une norme commune. Il s'agit de la propriété des données. Les réglementations nationales diffèrent d'un pays à l'autre, même en Europe, ou on devrait peut-être dire, surtout en Europe où c'est très déroutant. Et il y a un RGPD, un règlement mondial sur la protection des données actuellement en cours de négociation entre l'Europe et les États-Unis pour essayer d'harmoniser les réglementations car il y en a tellement, généralement comme elles sont en fait internationales, et puis il y a des services cloud que vous pourriez Je ne pense pas que vos données étaient internationales, mais elles sont devenues internationales dès que vous êtes entré dans le cloud, car elles ont quitté votre pays. Il s'agit donc d'un ensemble de règlements qui sont négociés, d'une manière ou d'une autre, pour traiter de la protection des données. Et la plupart de cela a à voir avec les données d'un individu, qui bien sûr, incluent à peu près toutes les données d'identité.

Choses à penser: vulnérabilités de la base de données. Il existe une liste de vulnérabilités connues et signalées par les fournisseurs de bases de données lorsqu'elles sont découvertes et corrigées le plus rapidement possible, il y a donc tout cela. Il y a des choses qui s'y rapportent en termes d'identification des données vulnérables. L'un des gros piratages les plus réussis sur les données de paiement a été effectué auprès d'une société de traitement des paiements. Celui-ci a ensuite été repris car il devait être mis en liquidation s'il ne le faisait pas, mais les données n'ont été volées dans aucune des bases de données opérationnelles. Les données ont été volées dans une base de données de test. Il se trouve que les développeurs venaient de prendre un sous-ensemble de données qui étaient de vraies données et de les utiliser, sans aucune protection, dans une base de données de test. La base de données de test a été piratée et un grand nombre de détails financiers personnels des personnes en ont été extraits.

La politique de sécurité, en particulier en ce qui concerne la sécurité d'accès aux bases de données, qui peut lire, qui peut écrire, qui peut accorder des autorisations, existe-t-il un moyen de contourner tout cela? Ensuite, il y a, bien sûr, les cryptages des bases de données le permettent. Il y a le coût d'une faille de sécurité. Je ne sais pas si c'est une pratique courante dans les organisations, mais je sais que certains, comme les chefs de la sécurité, essaient de donner aux dirigeants une idée du coût réel d'une violation de la sécurité avant qu'elle ne se produise plutôt qu'après. Et ils, en quelque sorte, doivent le faire pour s'assurer qu'ils obtiennent le bon budget pour pouvoir défendre l'organisation.

Et puis la surface d'attaque. La surface d'attaque semble croître tout le temps. C'est d'année en année que la surface d'attaque semble simplement augmenter. Donc, en résumé, la plage est un autre point, mais la sécurité des données fait généralement partie du rôle du DBA. Mais la sécurité des données est également une activité collaborative. Vous devez avoir, si vous faites de la sécurité, vous devez avoir une idée complète des protections de sécurité pour l'organisation dans son ensemble. Et il doit y avoir une politique d'entreprise à ce sujet. S'il n'y a pas de politiques d'entreprise, vous vous retrouvez avec des solutions fragmentaires. Vous savez, l'élastique et le plastique, en quelque sorte, tentent d'empêcher la sécurité.

Cela dit, je pense que je cède la parole à Dez qui va probablement vous raconter diverses histoires de guerre.

Eric Kavanagh: À emporter, Dez.

Dez Blanchfield: Merci, Robin. C'est toujours un acte difficile à suivre. Je vais en venir à l'autre bout du spectre juste pour, je suppose, nous donner une idée de l'ampleur du défi auquel vous êtes confronté et pourquoi nous devrions faire plus que simplement nous asseoir et faire attention à cela . Le défi que nous voyons maintenant avec l'échelle, la quantité et le volume, la vitesse à laquelle ces choses se produisent, c'est que ce que j'entends partout avec beaucoup de CXO, pas seulement des CIO, mais certainement Les DSI sont ceux qui assistent là où la balle s'arrête, c'est qu'ils considèrent que les violations de données deviennent rapidement la norme. C'est quelque chose qu'ils attendent presque. Donc, ils regardent cela du point de vue de: "D'accord, eh bien, quand nous sommes violés - pas si - quand nous sommes violés, que devons-nous faire à ce sujet?" Et puis les conversations commencent autour, que font-ils dans les environnements périphériques traditionnels et les routeurs, commutateurs, serveurs, détection d'intrusion, inspection d'intrusion? Que font-ils dans les systèmes eux-mêmes? Que font-ils avec les données? Et puis tout revient à ce qu'ils ont fait avec leurs bases de données.

Permettez-moi de mentionner quelques exemples de certaines de ces choses qui ont captivé l'imagination de beaucoup de gens, puis de les approfondir, en quelque sorte, de les briser un peu. Nous avons donc entendu dans les nouvelles que Yahoo - probablement le plus grand nombre que les gens ont entendu est d'environ un demi-million, mais il s'avère en fait que cela ressemble officieusement à un milliard - j'ai entendu un nombre étrange de trois milliards, mais c'est presque la moitié de la population mondiale, donc je pense que c'est un peu élevé. Mais je l'ai fait vérifier par un certain nombre de personnes dans des espaces pertinents qui pensent qu'il y a un peu plus d'un milliard d'enregistrements qui ont été piratés sur Yahoo. Et ce n'est qu'un chiffre ahurissant. Maintenant, certains joueurs regardent et pensent, eh bien, ce ne sont que des comptes de messagerie Web, ce n'est pas grave, mais ensuite, vous ajoutez le fait que beaucoup de ces comptes de messagerie Web, et un nombre étrangement élevé, plus élevé que ce que j'avais prévu, sont en fait des comptes payés. C'est là que les gens mettent leurs coordonnées de carte de crédit et qu'ils paient pour supprimer les publicités, car ils en ont marre des publicités et donc 4 $ ou 5 $ par mois, ils sont prêts à acheter un webmail et un service de stockage cloud qui ne contient pas de publicités, et je suis de ceux-là, et je l'ai dans trois fournisseurs différents où je branche ma carte de crédit.

Ainsi, le défi attire un peu plus l'attention, car ce n'est pas seulement quelque chose qui se présente comme une phrase à dire: «Eh bien, Yahoo a perdu, disons, entre 500 millions et 1 000 millions de comptes», 1 000 millions Cela semble très gros et les comptes de messagerie Web, mais les détails de la carte de crédit, le prénom, le nom, l'adresse e-mail, la date de naissance, la carte de crédit, le code PIN, tout ce que vous voulez, les mots de passe, puis cela devient un concept beaucoup plus effrayant. Et encore une fois, les gens me disent: «Oui, mais c'est juste un service Web, c'est juste du Webmail, ce n'est pas grave.» Et puis je dis: «Oui, eh bien, ce compte Yahoo a peut-être également été utilisé dans les services monétaires Yahoo pour acheter et vendre des actions. »Ensuite, cela devient plus intéressant. Et au fur et à mesure que vous commencez à approfondir, vous réalisez que, bien plus, ce ne sont pas seulement les mamans et les papas à la maison, et les adolescents, avec des comptes de messagerie, c'est en fait quelque chose où les gens ont fait des transactions commerciales.

C'est donc une extrémité du spectre. L'autre extrémité du spectre est qu'un très petit fournisseur de services de santé généraliste en Australie s'est fait voler environ 1 000 dossiers. C'était un travail interne, quelqu'un est parti, ils étaient juste curieux, ils sont sortis de la porte, dans ce cas, c'était une disquette de 3, 5 pouces. C'était il y a peu de temps - mais vous pouvez dire l'ère des médias - mais ils étaient sur l'ancienne technologie. Mais il s'est avéré que la raison pour laquelle ils ont pris les données était qu'ils étaient simplement curieux de savoir qui s'y trouvait. Parce qu'il y avait beaucoup de gens dans cette petite ville, qui était notre capitale nationale, qui étaient des politiciens. Et ils voulaient savoir qui était là-bas et où se trouvait leur vie et toutes ces informations. Donc, avec une très petite violation de données qui a été effectuée en interne, un nombre significativement élevé de politiciens dans les détails du gouvernement australien étaient censés être rendus publics.

Nous avons deux extrémités différentes du spectre à considérer. Maintenant, la réalité est que l'échelle de ces choses est tout simplement stupéfiante et j'ai une diapositive sur laquelle nous allons sauter très, très rapidement ici. Il y a quelques sites Web qui répertorient toutes sortes de données, mais celui-ci provient d'un spécialiste de la sécurité qui avait le site Web où vous pouvez aller chercher votre adresse e-mail ou votre nom, et il vous montrera chaque incident de données violation au cours des 15 dernières années qu'il a pu mettre la main sur, puis charger dans une base de données et vérifier, et il vous dira si vous avez été mis en attente, comme le terme est. Mais lorsque vous commencez à regarder certains de ces chiffres et que cette capture d'écran n'a pas été mise à jour avec sa dernière version, qui comprend un couple, comme Yahoo. Mais pensez aux types de services ici. Nous avons Myspace, nous avons LinkedIn, Adobe. Adobe est intéressant parce que les gens regardent et pensent, eh bien, qu'est-ce que Adobe signifie? La plupart d'entre nous qui téléchargeons Adobe Reader sous une forme ou une autre, beaucoup d'entre nous ont acheté des produits Adobe avec une carte de crédit, soit 152 millions de personnes.

Maintenant, au point de Robin précédemment, ce sont de très grands nombres, il est facile d'être dépassé par eux. Que se passe-t-il lorsque 359 millions de comptes ont été violés? Eh bien, il y a deux ou trois choses. Robin a souligné le fait que ces données sont invariablement dans une base de données sous une forme ou une autre. Voilà le message critique ici. Presque personne sur cette planète, à ma connaissance, qui gère un système de quelque forme que ce soit, ne le stocke dans une base de données. Mais ce qui est intéressant, c'est qu'il y a trois différents types de données dans cette base de données. Il existe des éléments liés à la sécurité tels que les noms d'utilisateur et les mots de passe, qui sont généralement cryptés, mais invariablement, il existe de nombreux exemples où ils ne le sont pas. Il y a les informations client réelles autour de leur profil et des données qu'ils ont créées, qu'il s'agisse d'un dossier de santé ou d'un e-mail ou d'un message instantané. Et puis il y a la logique embarquée réelle, donc ça pourrait être des procédures stockées, ça pourrait être tout un tas de règles, si + ceci + alors + cela. Et invariablement, ce n'est que du texte ASCII coincé dans la base de données, très peu de gens sont assis là à penser: «Eh bien, ce sont des règles commerciales, c'est ainsi que nos données sont déplacées et contrôlées, nous devrions potentiellement crypter cela quand il est au repos et lorsqu'il est dans le mouvement peut-être que nous le décryptons et le gardons en mémoire », mais idéalement, il devrait probablement l'être aussi.

Mais il revient à ce point clé que toutes ces données sont dans une base de données sous une forme et le plus souvent, l'accent est mis, juste historiquement, sur les routeurs et les commutateurs et les serveurs et même le stockage, et pas toujours sur la base de données à l'arrière. Parce que nous pensons que nous avons le bord du réseau couvert et c'est, en quelque sorte, un vieux typique, en quelque sorte, vivant dans un château et vous mettez un fossé autour et vous espérez que les méchants ne vont pas être capable de nager. Mais tout d'un coup, les méchants ont découvert comment faire des échelles étendues et les jeter sur les douves et grimper sur les douves et grimper sur les murs. Et tout à coup, votre fossé est à peu près inutile.

Nous sommes donc maintenant dans le scénario où les organisations sont en mode rattrapage dans un sprint. Ils sont littéralement en train de sprinter sur tous les systèmes, à mon avis, et certainement mon expérience, en ce sens que ce ne sont pas toujours ces licornes Web, comme nous les appelons souvent, le plus souvent, ce sont les entreprises traditionnelles qui sont violées. Et vous n'avez pas besoin d'avoir beaucoup d'imagination pour savoir qui ils sont. Il y a des sites Web comme celui appelé pastebin.net et si vous allez sur pastebin.net et que vous tapez simplement une liste de courriels ou une liste de mots de passe, vous vous retrouverez avec des centaines de milliers d'entrées par jour qui sont ajoutées où les gens répertorient des exemples de jeux de données de jusqu'à un millier d'enregistrements de prénom, nom de famille, détails de carte de crédit, nom d'utilisateur, mot de passe, mots de passe décryptés, soit dit en passant. Où les gens peuvent saisir cette liste, aller vérifier trois ou quatre d'entre eux et décider que oui, je veux acheter cette liste et il y a généralement une sorte de mécanisme qui fournit une sorte de passerelle anonyme à la personne qui vend les données.

Maintenant, ce qui est intéressant, c'est qu'une fois que l'entrepreneur affilié se rend compte qu'il peut le faire, il ne faut pas autant d'imagination pour réaliser que si vous dépensez 1 000 $ US pour acheter l'une de ces listes, quelle est la première chose que vous en faites? Vous n'essayez pas de suivre les comptes, vous en remettez une copie sur pastbin.net et vous vendez deux exemplaires pour 1 000 $ chacun et vous réalisez un profit de 1 000 $. Et ce sont des enfants qui font ça. Il existe dans le monde des organisations professionnelles extrêmement importantes qui font cela pour gagner leur vie. Il y a même des États-nations qui attaquent d'autres États. Vous savez, il y a beaucoup de discussions sur l'Amérique attaquant la Chine, la Chine attaquant l'Amérique, ce n'est pas si simple, mais il y a certainement des organisations gouvernementales qui violent des systèmes qui sont invariablement alimentés par des bases de données. Ce n'est pas seulement un cas de petites organisations, c'est aussi des pays contre des pays. Cela nous ramène à la question de savoir où sont stockées les données? C'est dans une base de données. Quels contrôles et mécanismes sont là? Ou invariablement, ils ne sont pas chiffrés, et s'ils sont chiffrés, ce ne sont pas toujours toutes les données, c'est peut-être juste le mot de passe qui est salé et chiffré.

Et autour de cela, nous avons un éventail de défis avec ce qui est dans ces données et comment nous fournissons l'accès aux données et la conformité SOX. Donc, si vous pensez à la gestion de patrimoine ou à la banque, vous avez des organisations qui s'inquiètent du défi des informations d'identification; vous avez des organisations qui se soucient de la conformité dans l'espace de l'entreprise; vous avez des exigences réglementaires et de conformité gouvernementales; vous avez maintenant des scénarios où nous avons des bases de données sur site; nous avons des bases de données dans des centres de données tiers; nous avons des bases de données dans des environnements cloud, donc ses environnements cloud ne sont pas toujours dans le pays. Et cela devient donc un défi de plus en plus important, non seulement du point de vue de la sécurité pure, ne nous faisons pas pirater, mais aussi, comment pouvons-nous répondre à tous les différents niveaux de conformité? Pas seulement les normes HIPAA et ISO, mais il y en a littéralement des dizaines et des dizaines et des dizaines d'entre elles au niveau des États, au niveau national et au niveau mondial qui traversent les frontières. Si vous faites des affaires avec l'Australie, vous ne pouvez pas déplacer de données gouvernementales. Aucune donnée privée australienne ne peut quitter le pays. Si vous êtes en Allemagne, c'est encore plus strict. Et je sais que l'Amérique avance très rapidement sur ce point pour diverses raisons également.

Mais cela me ramène à nouveau à tout ce défi: comment savez-vous ce qui se passe dans votre base de données, comment le surveillez-vous, comment dites-vous qui fait quoi dans la base de données, qui a des vues de diverses tables et lignes et colonnes et champs, quand le lisent-ils, à quelle fréquence le lisent-ils et qui le suit? Et je pense que cela m'amène à mon dernier point avant de passer la parole à notre invité aujourd'hui qui va nous aider à parler de la façon dont nous résolvons ce problème. Mais je veux nous laisser avec cette seule pensée, c'est-à-dire qu'une grande partie de l'accent est mis sur le coût pour l'entreprise et le coût pour l'organisation. Et nous n'allons pas couvrir ce point en détail aujourd'hui, mais je veux simplement le laisser dans notre esprit pour y réfléchir et c'est qu'il y a une estimation d'environ entre 135 $ US et 585 $ US par enregistrement à nettoyer après une violation. Donc, l'investissement que vous faites dans votre sécurité autour des routeurs, des commutateurs et des serveurs est bien beau et bon et les pare-feu, mais combien avez-vous investi dans la sécurité de votre base de données?

Mais c'est une fausse économie et lorsque la violation de Yahoo s'est produite récemment, et je l'ai de bonne foi, c'est à peu près un milliard de comptes, pas 500 millions. Lorsque Verizon a acheté l'organisation pour quelque chose comme 4, 3 milliards de dollars, dès que la violation s'est produite, ils ont demandé un milliard de dollars ou une remise. Maintenant, si vous faites le calcul et que vous dites qu'il y a environ un milliard d'enregistrements qui ont été violés, une remise d'un milliard de dollars, l'estimation de 135 à 535 $ pour nettoyer un enregistrement devient maintenant 1 $. Ce qui, encore une fois, est ridicule. Il ne coûte pas 1 $ pour nettoyer un milliard d'enregistrements. À 1 $ par enregistrement pour nettoyer un milliard d'enregistrements pour une violation de cette taille. Vous ne pouvez même pas publier un communiqué de presse pour ce genre de coût. Et donc nous nous concentrons toujours sur les défis internes.

Mais l'une des choses, je pense, et il nous appartient de prendre cela très au sérieux au niveau de la base de données, c'est pourquoi c'est un sujet très, très important pour nous de parler, et c'est que, nous ne parlons jamais de l'humain péage. Quel est le bilan humain que nous subissons à ce sujet? Et je prendrai un exemple avant de conclure rapidement. LinkedIn: en 2012, le système LinkedIn a été piraté. Il y avait un certain nombre de vecteurs et je n'entrerai pas dans les détails. Et des centaines de millions de comptes ont été volés. Les gens disent environ 160 millions, mais c'est en fait un nombre beaucoup plus élevé, il pourrait atteindre 240 millions. Mais cette violation n'a été annoncée qu'au début de cette année. Cela fait quatre ans que des centaines de millions de dossiers de personnes sont disponibles. Maintenant, il y avait des gens qui payaient des services avec des cartes de crédit et d'autres avec des comptes gratuits. Mais LinkedIn est intéressant, car non seulement ils ont eu accès aux détails de votre compte en cas de violation, mais ils ont également eu accès à toutes les informations de votre profil. Donc, à qui vous étiez connecté et toutes les connexions que vous aviez, et les types d'emplois qu'ils avaient et leurs types de compétences qu'ils avaient et combien de temps ils avaient travaillé dans des entreprises et toutes ces informations, et leurs coordonnées.

Pensez donc au défi que nous avons à sécuriser les données dans ces bases de données, à sécuriser et à gérer les systèmes de bases de données eux-mêmes, et le flux d'impact, le bilan humain de ces données étant là depuis quatre ans. Et la probabilité que quelqu'un se présente pour des vacances quelque part en Asie du Sud-Est et qu'il dispose de ses données depuis quatre ans. Et quelqu'un a peut-être acheté une voiture ou obtenu un prêt immobilier ou acheté dix téléphones au cours de l'année sur des cartes de crédit, où il a créé une fausse identité sur ces données qui était là depuis quatre ans - parce que même les données de LinkedIn vous ont donné suffisamment d'informations pour créez un compte bancaire et une fausse carte d'identité - et vous montez dans l'avion, vous partez en vacances, vous atterrissez et vous êtes jeté en prison. Et pourquoi êtes-vous jeté en prison? Eh bien, parce qu'on vous a volé votre carte d'identité. Quelqu'un a créé une fausse carte d'identité et a agi comme vous et des centaines de milliers de dollars et ils le faisaient depuis quatre ans et vous ne le saviez même pas. Parce que c'est là-bas, c'est juste arrivé.

Je pense donc que cela nous amène à ce défi central: comment savoir ce qui se passe dans nos bases de données, comment le suivre, comment le surveiller? Et j'ai hâte d'entendre comment nos amis d'IDERA ont trouvé une solution pour y remédier. Et avec cela, je vais céder.

Eric Kavanagh: Très bien, Ignacio, la parole est à vous.

Ignacio Rodriguez: D' accord. Eh bien, bienvenue à tous. Je m'appelle Ignacio Rodriguez, mieux connu sous le nom d'Iggy. Je suis chez IDERA et chef de produit pour les produits de sécurité. De très bons sujets que nous venons de couvrir, et nous devons vraiment nous inquiéter des violations de données. Nous devons avoir des politiques de sécurité renforcées, nous devons identifier les vulnérabilités et évaluer les niveaux de sécurité, contrôler les autorisations des utilisateurs, contrôler la sécurité du serveur et se conformer aux audits. J'ai fait des audits dans mon passé, principalement du côté Oracle. J'en ai fait sur SQL Server et je les faisais avec des outils ou, fondamentalement, des scripts locaux, ce qui était génial mais vous devez créer un référentiel et vous assurer que le référentiel était sécurisé, devant constamment maintenir les scripts avec les modifications des auditeurs, Qu'avez vous.

Donc, dans les outils, si j'avais su que IDERA était là et avait un outil, je l'aurais probablement acheté. Mais de toute façon, nous allons parler de Secure. C'est l'un de nos produits dans notre gamme de produits de sécurité et ce qu'il fait essentiellement, c'est que nous examinons les politiques de sécurité et que nous les adaptons aux directives réglementaires. Vous pouvez afficher un historique complet des paramètres de SQL Server et vous pouvez également faire une base de ces paramètres, puis comparer avec les modifications futures. Vous pouvez créer un instantané, qui est une base de référence de vos paramètres, puis être en mesure de suivre si l'une de ces choses a été modifiée et également être alerté si elles sont modifiées.

L'une des choses que nous faisons bien est de prévenir les risques et les violations de sécurité. La fiche de rapport de sécurité vous donne une vue des principales vulnérabilités de sécurité sur les serveurs, puis chaque contrôle de sécurité est classé comme à risque élevé, moyen ou faible. Maintenant, sur ces catégories ou contrôles de sécurité, tout cela peut être modifié. Disons que si vous avez des contrôles et que vous utilisez l'un des modèles que nous avons et que vous décidez, eh bien, nos contrôles indiquent ou veulent vraiment que cette vulnérabilité ne soit pas vraiment élevée mais moyenne, ou vice versa. Certains peuvent être étiquetés comme moyens, mais dans votre organisation, les contrôles que vous souhaitez étiqueter ou les considérer comme élevés, tous ces paramètres sont configurables par l'utilisateur.

Un autre problème critique que nous devons examiner est d'identifier les vulnérabilités. Comprendre qui a accès à quoi et identifier chacun des droits effectifs de l'utilisateur sur tous les objets SQL Server. Avec l'outil, nous allons pouvoir parcourir et examiner les droits sur tous les objets SQL Server et nous verrons une capture d'écran de cela ici très bientôt. Nous signalons et analysons également les autorisations des utilisateurs, des groupes et des rôles. L'une des autres fonctionnalités est que nous fournissons des rapports détaillés sur les risques de sécurité. Nous avons des rapports prêts à l'emploi et contient des paramètres flexibles pour vous permettre de créer les types de rapports et d'afficher les données dont les auditeurs, les responsables de la sécurité et les gestionnaires ont besoin.

Nous pouvons également comparer la sécurité, les risques et les changements de configuration au fil du temps, comme je l'ai mentionné. Et ce sont les instantanés. Et ces instantanés peuvent être configurés autant que vous le souhaitez - mensuellement, trimestriellement, annuellement - qui peuvent être planifiés dans l'outil. Et, encore une fois, vous pouvez faire des comparaisons pour voir ce qui a changé et ce qui est bien, si vous avez eu une violation, vous pouvez créer un instantané après sa correction, faire une comparaison et vous verriez qu'il y avait un niveau élevé risque associé à l'instantané précédent puis au rapport, vous voyez en fait dans l'instantané suivant après qu'il a été corrigé qu'il ne s'agissait plus d'un problème. C'est un bon outil d'audit que vous pourriez donner à l'auditeur, un rapport que vous pourriez remettre aux auditeurs et dire: «Écoutez, nous avions ce risque, nous l'avons atténué, et maintenant ce n'est plus un risque.» Et, encore une fois, je mentionné avec les instantanés, vous pouvez alerter lorsqu'une configuration change, et si une configuration est modifiée et est détectée, qui présente un nouveau risque, vous en serez également informé.

Nous recevons quelques questions sur notre architecture SQL Server avec Secure, et je veux apporter une correction à la diapositive ici où il est dit «Service de collecte». Nous n'avons aucun service, il aurait dû être «Management and Collection Server. «Nous avons notre console, puis notre serveur de gestion et de collecte et nous avons une capture sans agent qui ira dans les bases de données qui ont été enregistrées et collectera les données via des travaux. Et nous avons un référentiel SQL Server et nous travaillons avec SQL Server Reporting Services afin de planifier des rapports et de créer également des rapports personnalisés. Maintenant, sur une fiche de rapport de sécurité, c'est le premier écran que vous verrez lorsque SQL Secure est démarré. Vous verrez facilement quels éléments critiques vous avez détectés. Et, encore une fois, nous avons les hauts, les moyens et les bas. Et puis nous avons aussi les politiques qui sont en jeu avec les contrôles de sécurité particuliers. Nous avons un modèle HIPAA; nous avons des modèles IDERA Security Level 1, 2 et 3; nous avons des directives PCI. Ce sont tous des modèles que vous pouvez utiliser et, encore une fois, vous pouvez également créer votre propre modèle, en fonction de vos propres contrôles. Et, encore une fois, ils sont modifiables. Vous pouvez créer le vôtre. N'importe lequel des modèles existants peut être utilisé comme référence, puis vous pouvez les modifier à votre guise.

L'une des bonnes choses à faire est de voir qui a les autorisations. Et avec cet écran ici, nous serons en mesure de voir quelles sont les connexions SQL Server sur l'entreprise et vous pourrez voir tous les droits et autorisations attribués et effectifs dans la base de données du serveur au niveau de l'objet. C'est ce que nous faisons ici. Vous pourrez à nouveau sélectionner les bases de données ou les serveurs, puis extraire le rapport des autorisations SQL Server. Tellement capable de voir qui a quel accès à quoi. Une autre fonctionnalité intéressante est que vous allez pouvoir comparer les paramètres de sécurité. Supposons que vous disposiez de paramètres standard qui devaient être définis dans votre entreprise. Vous pourrez alors faire une comparaison de tous vos serveurs et voir quels paramètres ont été définis sur les autres serveurs de votre entreprise.

Encore une fois, les modèles de politique, ce sont certains des modèles que nous avons. En gros, encore une fois, vous en utilisez un, créez le vôtre. Vous pouvez créer votre propre politique, comme on le voit ici. Utilisez l'un des modèles et vous pouvez les modifier selon vos besoins. Nous pouvons également afficher les droits effectifs de SQL Server. Cela permettra de vérifier et de prouver que les autorisations sont correctement définies pour les utilisateurs et les rôles. Encore une fois, vous pouvez aller voir, voir et vérifier que les autorisations sont correctement définies pour les utilisateurs et les rôles. Ensuite, avec les droits d'accès aux objets SQL Server, vous pouvez ensuite parcourir et analyser l'arborescence d'objets SQL Server du niveau du serveur jusqu'aux rôles et aux points de terminaison au niveau de l'objet. Et vous pouvez afficher instantanément les autorisations héritées attribuées et effectives et les propriétés liées à la sécurité au niveau de l'objet. Cela vous donne une bonne vue des accès que vous avez sur vos objets de base de données et qui y a accès.

Nous avons, encore une fois, nos rapports que nous avons. Ce sont des rapports en conserve, nous en avons plusieurs parmi lesquels vous pouvez sélectionner afin de faire votre rapport. Et beaucoup d'entre eux peuvent être personnalisés ou vous pouvez avoir vos rapports clients et les utiliser conjointement avec les services de rapports et être en mesure de créer vos propres rapports personnalisés à partir de là. Maintenant, les comparaisons d'instantanés, c'est une fonctionnalité assez cool, je pense, où vous pouvez aller là-bas et vous pouvez comparer vos instantanés que vous avez pris et regarder pour voir s'il y avait des différences dans le nombre. Y a-t-il des objets ajoutés, y a-t-il eu des autorisations qui ont changé, tout ce que nous pourrions voir quelles modifications ont été apportées entre les différents instantanés. Certaines personnes les examineront au niveau mensuel - elles feront un instantané mensuel, puis feront une comparaison chaque mois pour voir si quelque chose a changé. Et s'il n'y avait rien qui était censé avoir été changé, tout ce qui était allé aux réunions de contrôle des changements, et que vous voyez que certaines autorisations ont été modifiées, vous pouvez revenir en arrière pour voir ce qui s'est passé. C'est une fonctionnalité assez intéressante ici où vous pouvez faire la comparaison, encore une fois, de tout ce qui est audité dans l'instantané.

Ensuite, votre comparaison d'évaluation. Ceci est une autre fonctionnalité intéressante que nous avons où vous pouvez aller là-bas et regarder les évaluations, puis faire une comparaison entre elles et remarquer que la comparaison ici avait un compte SA qui n'était pas désactivé dans cet instantané récent que j'ai fait - il est maintenant corrigé. C'est une très bonne chose où vous pouvez montrer que, bien, nous avions un certain risque, ils ont été identifiés par l'outil, et maintenant nous avons atténué ces risques. Et, encore une fois, il s'agit d'un bon rapport pour montrer aux auditeurs qu'en fait, ces risques ont été atténués et pris en charge.

En résumé, la sécurité des bases de données, elle est cruciale, et je pense que bien des fois nous examinons les violations qui proviennent de sources externes et parfois nous ne prêtons pas trop d'attention aux violations internes et c'est certaines des choses que nous besoin de faire attention. Et Secure vous y aidera pour vous assurer qu'aucun privilège n'a besoin d'être attribué, vous savez, assurez-vous que toutes ces sécurités sont correctement définies pour les comptes. Assurez-vous que vos comptes SA ont des mots de passe. Vérifie également dans la mesure où, vos clés de chiffrement ont-elles été exportées? Juste plusieurs choses différentes que nous vérifions et nous vous alerterons s'il y a eu un problème et à quel niveau il est. Nous avons besoin d'un outil, de nombreux professionnels ont besoin d'outils pour gérer et surveiller les autorisations d'accès à la base de données, et nous cherchons en fait à fournir une capacité étendue pour contrôler les autorisations de la base de données et suivre les activités d'accès et atténuer le risque de violation.

Maintenant, une autre partie de nos produits de sécurité est qu'il existe un WebEx qui a été couvert et une partie de la présentation dont nous avons parlé plus tôt était des données. Vous savez qui accède à quoi, qu'avez-vous, et c'est notre outil SQL Compliance Manager. Et il y a un WebEx enregistré sur cet outil et qui vous permettra en fait de surveiller qui accède à quelles tables, quelles colonnes, vous pouvez identifier les tables qui ont des colonnes sensibles, en ce qui concerne la date de naissance, les informations sur les patients, ces types de tables et voir réellement qui a accès à ces informations et si elles sont accessibles.

Eric Kavanagh: Très bien, alors plongeons-nous dans les questions, je suppose, ici. Peut-être, Dez, je vais te le jeter en premier, et Robin, sonner comme tu peux.

Dez Blanchfield: Oui, j'ai eu hâte de poser une question à partir des 2 e et 3 e diapositives. Quel est le cas d'utilisation typique que vous voyez pour cet outil? Quels sont les types d'utilisateurs les plus courants que vous voyez qui adoptent cela et le mettent en jeu? Et à l'arrière de cela, le modèle typique de cas d'utilisation, comment font-ils cela? Comment est-il mis en œuvre?

Ignacio Rodriguez: D'accord, le cas d'utilisation typique que nous avons est celui des administrateurs de base de données qui se sont vu confier la responsabilité du contrôle d'accès pour la base de données, qui s'assure que toutes les autorisations sont définies de la manière dont ils doivent être, puis en suivant la trace et leurs normes. en place. Vous savez, ces certains comptes d'utilisateurs ne peuvent avoir accès qu'à ces tables particulières, etc. Et ce qu'ils en font, c'est de s'assurer que ces normes ont été établies et que ces normes n'ont pas changé avec le temps. Et c'est l'une des grandes choses pour lesquelles les gens l'utilisent est de suivre et d'identifier si des changements sont apportés qui ne sont pas connus.

Dez Blanchfield: Parce qu'ils sont effrayants, n'est-ce pas? Est-ce que vous pourriez avoir un, disons, un document de stratégie, vous avez des politiques qui sous-tendent cela, vous avez la conformité et la gouvernance en dessous, et vous suivez les politiques, vous adhérez à la gouvernance et il obtient le feu vert et puis tout à coup, un mois plus tard, quelqu'un met en place un changement et pour une raison quelconque, il ne passe pas par le même comité d'examen des changements ou processus de changement, ou quoi que ce soit, ou le projet vient de passer et personne ne sait.

Avez-vous des exemples que vous pouvez partager - et je sais, évidemment, ce n'est pas toujours quelque chose que vous partagez parce que les clients sont un peu inquiets à ce sujet, nous n'avons donc pas nécessairement à nommer des noms - mais donnez-nous un exemple de l'endroit où vous vous avez peut-être vu cela en fait, vous savez, une organisation a mis cela en place sans le savoir et ils ont juste trouvé quelque chose et ont réalisé: "Wow, ça valait dix fois, nous avons juste trouvé quelque chose que nous ne réalisions pas." un exemple où les gens ont mis en œuvre cela et ont ensuite découvert qu'ils avaient un plus gros problème ou un vrai problème qu'ils ne savaient pas qu'ils avaient et ensuite vous êtes immédiatement ajouté sur la liste des cartes de Noël?

Ignacio Rodriguez: Eh bien, je pense que la chose la plus importante que nous ayons vue ou rapportée est ce que je viens de mentionner, en ce qui concerne l'accès que quelqu'un avait. Il y a des développeurs et lorsqu'ils ont implémenté l'outil, ils ne se rendaient vraiment pas compte que X quantité de ces développeurs avaient autant d'accès à la base de données et avaient accès à des objets particuliers. Et une autre chose est les comptes en lecture seule. Il y avait certains comptes en lecture seule qu'ils avaient, venus pour découvrir que ces comptes en lecture seule sont en fait, avaient également des privilèges d'insertion et de suppression de données. C'est là que nous avons vu certains avantages pour les utilisateurs. La grande chose, encore une fois, que nous avons entendu que les gens aiment, est de pouvoir, encore une fois, suivre les changements et s'assurer que rien ne les aveugle.

Dez Blanchfield: Eh bien, comme Robin l'a souligné, vous avez des scénarios auxquels les gens ne réfléchissent pas souvent, non? Quand nous regardons vers l'avenir, nous pensons en quelque sorte, vous savez, si nous faisons tout selon les règles, et je trouve, et je suis sûr que vous le voyez aussi - dites-moi si vous n'êtes pas d'accord - les organisations se concentrent donc fortement sur le développement de la stratégie et de la politique et de la conformité et de la gouvernance et des indicateurs de performance clés et des rapports, qu'ils sont souvent si obsédés par cela, qu'ils ne pensent pas aux valeurs aberrantes. Et Robin avait un très bon exemple que je vais lui voler - désolé Robin - mais l'exemple est l'autre fois où une copie en direct de la base de données, un instantané et le mettre en test de développement, non? Nous faisons du développement, nous faisons des tests, nous faisons de l'UAT, nous faisons de l'intégration de systèmes, tout ce genre de choses et ensuite nous faisons un tas de tests de conformité maintenant. Souvent, les tests de développement, UAT, SIT ont en fait un composant de conformité où nous nous assurons que tout est sain et sûr, mais tout le monde ne le fait pas. Cet exemple que Robin a donné avec une copie d'une copie en direct de la base de données mise dans un test avec un environnement de développement pour voir si cela fonctionne toujours avec les données en direct. Très peu de sociétés se reposent et pensent: "Est-ce que cela se produit ou est-ce possible?" Elles sont toujours obsédées par la production. À quoi ressemble le parcours de mise en œuvre? Parlons-nous de jours, semaines, mois? À quoi ressemble un déploiement régulier pour une organisation de taille moyenne?

Ignacio Rodriguez: Jours. Ce n'est même pas des jours, je veux dire, c'est juste quelques jours. Nous venons d'ajouter une fonctionnalité permettant d'enregistrer de très nombreux serveurs. Au lieu de devoir y entrer dans l'outil, et dire que vous aviez 150 serveurs, vous deviez y aller individuellement et enregistrer les serveurs - maintenant vous n'avez plus à le faire. Il existe un fichier CSV que vous créez et nous le supprimons automatiquement et nous ne le conservons pas à cause de problèmes de sécurité. Mais c'est une autre chose que nous devons considérer, c'est que vous allez avoir un fichier CSV avec nom d'utilisateur / mot de passe.

Ce que nous faisons, c'est que nous le supprimons automatiquement, mais c'est une option que vous avez. Si vous voulez vous y rendre individuellement et les enregistrer sans vouloir prendre ce risque, vous pouvez le faire. Mais si vous souhaitez utiliser un fichier CSV, placez-le dans un emplacement sécurisé, pointez l'application vers cet emplacement, il exécutera ce fichier CSV, puis il sera automatiquement configuré pour supprimer ce fichier une fois terminé. Et ça ira et assurez-vous et vérifiez que le fichier est supprimé. Le pôle le plus long dans le sable que nous ayons eu jusqu'à la mise en œuvre était l'enregistrement des serveurs réels.

Dez Blanchfield: D'accord. Maintenant, vous avez parlé de rapports. Pouvez-vous nous donner un peu plus de détails et un aperçu de ce qui vient pré-groupé en ce qui concerne le reportage, je suppose, la composante découverte de regarder ce qu'il y a dedans et de faire rapport à ce sujet, l'état actuel de la nation, ce qui vient avant construit et précuit en ce qui concerne les rapports sur l'état actuel de la conformité et de la sécurité, et dans quelle mesure sont-ils facilement extensibles? Comment pouvons-nous en tirer parti?

Ignacio Rodriguez: D'accord. Certains des rapports que nous avons, nous avons des rapports qui traitent entre les serveurs, les vérifications de connexion, les filtres de collecte de données, l'historique des activités et ensuite les rapports d'évaluation des risques. Et aussi tous les comptes Windows suspects. Il y en a beaucoup, beaucoup ici. Voir les connexions SQL suspectes, les connexions au serveur et le mappage des utilisateurs, les autorisations des utilisateurs, toutes les autorisations des utilisateurs, les rôles de serveur, les rôles de base de données, une certaine quantité de vulnérabilité que nous avons ou les rapports d'authentification en mode mixte, les bases de données activées par les invités, la vulnérabilité du système d'exploitation via XPS, les procédures étendues, puis les rôles fixes vulnérables. Ce sont certains des rapports que nous avons.

Dez Blanchfield: Et vous avez mentionné qu'ils sont suffisamment importants et un certain nombre d'entre eux, ce qui est logique. Est-il facile pour moi de l'adapter? Si je lance un rapport et que j'obtiens ce grand graphique, mais je veux retirer quelques éléments qui ne m'intéressent pas vraiment et ajouter quelques autres fonctionnalités, y a-t-il un rédacteur de rapport, y a-t-il une sorte d'interface et un outil pour configurer et personnaliser ou même potentiellement créer un autre rapport à partir de zéro?

Ignacio Rodriguez: Nous demanderions alors aux utilisateurs d'utiliser les services de rapport Microsoft SQL pour ce faire et nous avons de nombreux clients qui prendront en fait certains des rapports, les personnaliseront et les planifieront quand ils le voudront. Certains de ces gars-là veulent voir ces rapports sur une base mensuelle ou hebdomadaire et ils prendront les informations que nous avons, les déplaceront dans Reporting Services et le feront à partir de là. Nous n'avons pas de rédacteur de rapports intégré à notre outil, mais nous profitons des services de rapports.

Dez Blanchfield: Je pense que c'est l'un des plus grands défis avec ces outils. Vous pouvez y entrer et trouver des informations, mais vous devez ensuite pouvoir les retirer, les signaler à des personnes qui ne sont pas nécessairement des administrateurs de base de données et des ingénieurs système. D'après mon expérience, il y a un rôle intéressant qui est, vous savez, les agents de gestion des risques ont toujours été dans les organisations et qu'ils ont principalement existé et une gamme de risques complètement différente que nous avons vu récemment, alors que maintenant avec les données les violations devenant non seulement une chose, mais un véritable tsunami, le CRO est passé, vous le savez, aux RH et à la conformité et à la santé et à la sécurité au travail, maintenant au cyber-risque. Vous savez, violation, piratage, sécurité - beaucoup plus technique. Et cela devient intéressant car il y a beaucoup de CRO qui viennent d'un pedigree MBA et non d'un pedigree technique, donc ils doivent se demander, en quelque sorte, ce que cela signifie pour la transition entre le cyber-risque de passer à un CRO, etc. Mais la grande chose qu'ils veulent, c'est juste des rapports de visibilité.

Pouvez-vous nous dire quelque chose sur le positionnement en matière de conformité? Évidemment, l'une des grandes forces de ceci est que vous pouvez voir ce qui se passe, vous pouvez le surveiller, vous pouvez apprendre, vous pouvez en rendre compte, vous pouvez y réagir, vous pouvez même anticiper certaines choses. Le défi majeur est le respect de la gouvernance. Y a-t-il des éléments clés de cela qui sont délibérément liés aux exigences de conformité existantes ou à la conformité de l'industrie comme PCI, ou quelque chose comme ça actuellement, ou est-ce quelque chose qui est sur la feuille de route? Est-ce que cela s'inscrit en quelque sorte dans le cadre des normes COBIT, ITIL et ISO? Si nous déployons cet outil, cela nous donne-t-il une série de freins et contrepoids qui s'intègrent dans ces cadres, ou comment pouvons-nous l'intégrer dans ces cadres? Où est la position avec ce genre de choses à l'esprit?

Ignacio Rodriguez: Oui, nous avons des modèles que nous livrons avec l'outil. Et nous arrivons au point où nous réévaluons nos modèles et nous allons en ajouter et il y en aura d'autres bientôt. FISMA, FINRA, quelques modèles supplémentaires que nous avons, et nous examinons généralement les modèles et regardons pour voir ce qui a changé, que devons-nous ajouter? Et nous voulons en fait arriver au point où, vous savez, les exigences de sécurité ont beaucoup changé, nous cherchons donc un moyen de rendre cela extensible à la volée. C'est quelque chose que nous envisageons à l'avenir.

Mais en ce moment, nous envisageons peut-être de créer des modèles et de pouvoir obtenir les modèles à partir d'un site Web; vous pouvez les télécharger. Et c'est ainsi que nous gérons cela - nous les gérons par le biais de modèles, et nous recherchons des moyens à l'avenir pour rendre cela facilement extensible et rapide. Parce que quand je faisais de l'audit, vous savez, les choses changent. Un vérificateur viendrait un mois et le mois prochain, il voudrait voir quelque chose de différent. Ensuite, c'est l'un des défis avec les outils, c'est de pouvoir apporter ces changements et obtenir ce dont vous avez besoin, et c'est, en quelque sorte, où nous voulons arriver.

Dez Blanchfield: Je suppose que le défi d'un auditeur change régulièrement à la lumière du fait que le monde bouge plus vite. Et il était une fois l'exigence du point de vue de l'audit, selon mon expérience, ne serait que de la pure conformité commerciale, puis elle est devenue la conformité technique et maintenant c'est la conformité opérationnelle. Et il y a tous ces autres, vous savez, chaque jour, quelqu'un se présente et ne se contente pas de vous mesurer sur quelque chose comme le fonctionnement ISO 9006 et 9002, il regarde toutes sortes de choses. Et je vois maintenant que la série 38 000 est également en train de devenir une grande chose en ISO. J'imagine que ça va devenir de plus en plus difficile. Je suis sur le point de céder la parole à Robin parce que je monopolise la bande passante.

Merci beaucoup de voir cela, et je vais certainement passer plus de temps à l'apprendre parce que je ne savais pas vraiment que c'était vraiment aussi profond. Alors, merci, Ignacio, je vais passer la main à Robin maintenant. Une belle présentation, merci. Robin, à vous.

Dr Robin Bloor: D'accord Iggy, je vais vous appeler Iggy, si cela vous convient. Ce qui me déroute, et je pense à la lumière de certaines des choses que Dez a dites dans sa présentation, il y a énormément de choses que vous devez dire que les gens ne s'occupent vraiment pas des données. Vous savez, surtout quand il s'agit du fait que vous ne voyez qu'une partie de l'iceberg et qu'il se passe probablement beaucoup de choses que personne ne rapporte. Je suis intéressé par votre point de vue sur le nombre de clients que vous connaissez ou de clients potentiels que vous connaissez, qui ont le niveau de protection que vous offrez, en quelque sorte, pas seulement cela, mais aussi votre technologie d'accès aux données? Je veux dire, qui là-bas est bien équipé pour faire face à la menace, est la question?

Ignacio Rodriguez: Qui est correctement équipé? Je veux dire, beaucoup de clients que nous n'avons vraiment pas abordés dans aucun type d'audit, vous savez. Ils en ont eu, mais l'essentiel est d'essayer de le suivre et d'essayer de le maintenir et de s'en assurer. Le gros problème que nous avons vu est - et même moi quand je faisais la conformité, est - si vous exécutiez vos scripts, vous le feriez une fois par trimestre lorsque les auditeurs entraient et que vous trouviez un problème. Eh bien, devinez quoi, c'est déjà trop tard, l'audit est là, les auditeurs sont là, ils veulent leur rapport, ils le signalent. Et puis, soit nous obtenons une note, soit on nous a dit, hé, nous devons résoudre ces problèmes, et c'est là que cela se produirait. Ce serait plus du type proactif où vous pouvez trouver votre risque et atténuer le risque et c'est ce que nos clients recherchent. Une façon d'être quelque peu proactif au lieu d'être réactif lorsque les auditeurs arrivent et constatent que certains des accès ne sont pas là où ils doivent être, d'autres personnes ont des privilèges administratifs et ils ne devraient pas les avoir, ce genre de choses. Et c'est là que nous avons vu beaucoup de commentaires, que les gens aiment l'outil et l'utilisent.

Dr Robin Bloor: D'accord, j'ai une autre question qui est, dans un sens, une question évidente aussi, mais je suis juste curieux. Combien de personnes viennent vous voir à la suite d'un hack? Où, vous savez, vous obtenez l'entreprise, non pas parce qu'ils ont regardé leur environnement et ont pensé qu'ils devaient être sécurisés de manière beaucoup plus organisée, mais en fait vous êtes là simplement parce qu'ils ont déjà subi une partie de la douleur.

Ignacio Rodriguez: Pendant mon séjour ici à l'IDERA, je n'en ai pas vu. Pour être honnête avec vous, la plupart des interactions que j'ai eues avec les clients avec lesquels j'ai été impliqué sont plus une perspective d'avenir et d'essayer de commencer l'audit et de commencer à examiner les privilèges, etc. Comme je l'ai dit, j'ai moi-même, je n'ai pas expérimenté pendant mon séjour ici, que nous avons eu quelqu'un qui est venu après la brèche que je connaisse.

Dr Robin Bloor: Oh, c'est intéressant. J'aurais pensé qu'il y en aurait eu au moins quelques-uns. En fait, je regarde cela, mais j'y ajoute également toutes les complexités qui sécurisent les données dans l'entreprise de toutes les manières et dans toutes les activités que vous faites. Offrez-vous directement du conseil pour aider les gens? Je veux dire, il est clair que vous pouvez acheter des outils, mais d'après mon expérience, les gens achètent souvent des outils sophistiqués et les utilisent très mal. Offrez-vous des conseils spécifiques - que faire, qui former et des choses comme ça?

Ignacio Rodriguez: Il existe certains services que vous pourriez, en ce qui concerne les services de soutien, qui permettront à certains d'entre eux de se produire. Mais en ce qui concerne le conseil, nous ne fournissons aucun service de conseil mais une formation, vous savez, comment utiliser les outils et des trucs comme ça, une partie de cela serait traitée avec le niveau de support. Mais en soi, nous n'avons pas de service qui sort et fait cela.

Dr Robin Bloor: D'accord. En ce qui concerne la base de données que vous couvrez, la présentation ici ne mentionne que Microsoft SQL Server - faites-vous également Oracle?

Ignacio Rodriguez: Nous allons d'abord nous développer dans le domaine Oracle avec Compliance Manager. Nous allons démarrer un projet avec cela, nous allons donc envisager d'étendre cela à Oracle.

Dr Robin Bloor: Et êtes-vous susceptible d'aller ailleurs?

Ignacio Rodriguez: Oui, c'est quelque chose que nous devons examiner sur les feuilles de route et voir comment les choses se passent, mais c'est certaines des choses que nous envisageons, c'est ce que les autres plateformes de base de données devons-nous attaquer également.

Dr Robin Bloor: Je m'intéressais également à la scission, je n'ai aucune idée préconçue de cela, mais en termes de déploiements, quelle quantité est réellement déployée dans le cloud, ou est-ce presque entièrement sur site ?

Ignacio Rodriguez: Tout sur place. Nous envisageons d'étendre Secure également à Azure, oui.

Dr Robin Bloor: C'était la question Azure, vous n'y êtes pas encore mais vous y allez, cela a beaucoup de sens.

Ignacio Rodriguez: Oui, nous y allons très bientôt.

Dr Robin Bloor: Oui, eh bien, d'après ce que je comprends de Microsoft, il y a énormément d'action avec Microsoft SQL Server dans Azure. Cela devient, si vous voulez, un élément clé de ce qu'ils offrent. L'autre question qui m'intéresse un peu - ce n'est pas technique, c'est plutôt une question de savoir comment engager - qui est l'acheteur pour cela? Êtes-vous approché par le service informatique ou êtes-vous approché par des OSC, ou s'agit-il d'une variété de personnes différentes? Quand quelque chose comme cela est envisagé, cela fait-il partie de toute une série de choses pour protéger l'environnement? Quelle est la situation là-bas?

Ignacio Rodriguez: C'est un mélange. Nous avons des OSC, souvent l'équipe de vente va tendre la main et parler aux DBA. Et puis, les administrateurs de base de données, encore une fois, ont été affrétés pour mettre en place une sorte de politique de processus d'audit. Et à partir de là, ils évalueront les outils et feront un rapport en amont et prendront une décision sur la pièce qu'ils souhaitent acheter. Mais c'est un mélange de personnes qui nous contacteront.

Dr Robin Bloor: D'accord. Je pense que je vais remettre à Eric maintenant parce que nous avons, en quelque sorte, fait l'heure, mais il peut y avoir des questions d'audience. Eric?

Eric Kavanagh: Oui, bien sûr, nous avons brûlé beaucoup de bons contenus ici. Voici une très bonne question que je vais vous poser de la part d'un des participants. Il parle de la blockchain et de ce dont vous parlez, et il demande, existe-t-il un moyen possible de migrer une partie en lecture seule d'une base de données SQL vers quelque chose de similaire à ce que propose la blockchain? C'est un peu difficile.

Ignacio Rodriguez: Oui, je vais être honnête avec vous, je n'ai pas de réponse à celle-là.

Eric Kavanagh: Je cède la parole à Robin. Je ne sais pas si vous avez entendu cette question, Robin, mais il demande simplement, existe-t-il un moyen de migrer la partie en lecture seule d'une base de données SQL vers quelque chose de similaire à ce que propose la blockchain? Qu'est ce que tu penses de ça?

Dr Robin Bloor: C'est comme si, si vous migrez la base de données, vous allez également migrer le trafic de la base de données. Cela implique toute une complexité. Mais vous ne le feriez pour aucune autre raison que de rendre les données inviolables. Parce qu'une blockchain va être plus lente à accéder, donc, vous savez, si la vitesse est votre chose - et c'est presque toujours la chose - alors vous ne le feriez pas. Mais si vous vouliez fournir, en quelque sorte, un accès chiffré à certaines parties à certaines personnes faisant ce genre de chose, vous pourriez le faire, mais vous devriez avoir une très bonne raison. Vous êtes beaucoup plus susceptible de le laisser là où il se trouve et de le sécuriser où il se trouve.

Dez Blanchfield: Oui, je suis d'accord là-dessus, si je peux peser rapidement. Je pense que le défi de la blockchain, même la blockchain qui est publiquement disponible, est utilisé sur le bitcoin - nous avons du mal à l'étendre au-delà, en quelque sorte, de quatre transactions par minute de manière entièrement distribuée. Pas tellement à cause du défi de calcul, bien qu'il soit là, les nœuds complets ont juste du mal à suivre les volumes de base de données en arrière et en avant et la quantité de données copiées car ce sont des concerts maintenant, pas seulement des megs.

Mais aussi, je pense que le principal défi est que vous devez changer l'architecture de l'application, car dans une base de données, il s'agit principalement de tout mettre à un emplacement central et vous avez ce modèle de type client-serveur. La blockchain est l'inverse; il s'agit de copies distribuées. Cela ressemble plus à BitTorrent à bien des égards, et c'est que beaucoup de copies sont là-bas des mêmes données. Et, vous savez, comme Cassandra et les bases de données en mémoire où vous les distribuez et de nombreux serveurs peuvent vous fournir des copies des mêmes données à partir d'un index distribué. Je pense que les deux éléments clés, comme vous l'avez dit, Robin, sont les suivants: un, si vous voulez le sécuriser et vous assurer qu'il ne peut pas être volé ou piraté, c'est très bien, mais ce n'est pas encore nécessairement une plateforme transactionnelle, et nous 'ai vécu cela avec le projet bitcoin. Mais en théorie, d'autres l'ont résolu. Mais également sur le plan architectural, de nombreuses applications ne savent pas comment interroger et lire à partir d'une blockchain.

Il y a beaucoup de travail à faire là-bas. Mais je pense que le point clé de la question ici, juste si je peux, est la justification de le déplacer vers une blockchain, je pense que la question qui est posée est, pouvez-vous retirer des données d'une base de données et les mettre sous une forme qui est plus sûr? Et la réponse est, vous pouvez le laisser dans la base de données et le crypter. Il existe désormais de nombreuses technologies. Cryptez simplement les données au repos ou en mouvement. Il n'y a aucune raison pour laquelle vous ne pouvez pas avoir de données chiffrées en mémoire et dans la base de données sur disque, ce qui est un défi beaucoup plus simple car vous n'avez pas une seule modification architecturale. Invariablement, la plupart des plates-formes de base de données, c'est en fait juste une fonctionnalité qui est activée.

Eric Kavanagh: Oui, nous avons une dernière question que je vais vous poser, Iggy. C'est assez bon. Du point de vue du SLA et de la planification de la capacité, quel type de taxe y a-t-il en utilisant votre système? En d'autres termes, toute latence supplémentaire ou surcharge de débit si, dans un système de base de données de production, quelqu'un veut impliquer la technologie IDERA ici?

Ignacio Rodriguez: Nous ne voyons vraiment pas beaucoup d'impact. Encore une fois, c'est un produit sans agent et tout dépend, comme je l'ai mentionné précédemment, des instantanés. Secure est basé sur des instantanés. Il ira là-bas et créera en fait un travail qui ira là-bas en fonction des intervalles que vous avez sélectionnés. Soit vous voulez le faire, encore une fois, hebdomadairement, quotidiennement, mensuellement. Il ira là-bas et exécutera ce travail, puis collectera les données des instances. À ce moment-là, la charge revient ensuite aux services de gestion et de collecte, une fois que vous commencez à faire les comparaisons et tout cela, la charge sur la base de données n'y joue aucun rôle. Toute cette charge est maintenant sur le serveur de gestion et de collecte, en ce qui concerne les comparaisons et tous les rapports et tout cela. Le seul moment où vous accédez à la base de données est toujours lorsqu'il effectue le snapshot réel. Et nous n'avons eu aucun rapport indiquant que cela nuisait vraiment aux environnements de production.

Eric Kavanagh: Oui, c'est un très bon point que vous faites valoir ici. Fondamentalement, vous pouvez simplement définir le nombre d'instantanés que vous prenez, quel est cet intervalle de temps et en fonction de ce qui peut arriver, mais c'est une architecture très intelligente. C'est une bonne chose, mec. Eh bien, vous êtes en première ligne pour nous protéger de tous les hackers dont nous avons parlé dans les 25 premières minutes de l'émission. Et ils sont là-bas, les gens, ne vous y trompez pas.

Eh bien, écoutez, nous publierons un lien vers cette webdiffusion, les archives, sur notre site insideanalysis.com. Vous pouvez trouver des choses sur SlideShare, vous pouvez les trouver sur YouTube. Et les gens, bonnes choses. Merci pour ton temps, Iggy, j'adore ton surnom, au fait. Sur ce, nous vous disons adieu, les amis. Merci beaucoup pour votre temps et votre attention. Nous vous rattraperons la prochaine fois. Bye Bye.

La nouvelle norme: faire face à la réalité d'un monde incertain