Oleh Staf Techopedia, 10 Mei 2017
Takeaway: Tuan rumah Eric Kavanagh membahas keamanan dan izin dengan Dr. Robin Bloor dan Vicky Harp IDERA.
Anda saat ini belum masuk. Silakan masuk atau daftar untuk melihat video.
Eric Kavanagh: Oke, tuan dan nyonya, halo dan selamat datang kembali. Ini hari Rabu, itu empat Timur dan di dunia teknologi perusahaan itu berarti sudah saatnya sekali lagi untuk Teknologi Panas! Ya memang. Dipersembahkan oleh Bloor Group tentunya, didukung oleh teman-teman kami di Techopedia. Topik untuk hari ini adalah topik yang sangat keren: “Lebih baik untuk Meminta Izin: Praktik Terbaik untuk Privasi dan Keamanan.” Itu benar, ini semacam topik yang sulit, banyak orang membicarakannya, tapi itu cukup serius, dan ini semakin serius setiap hari, terus terang saja. Ini masalah serius dalam banyak hal bagi banyak organisasi. Kami akan membicarakan hal itu dan kami akan membicarakan apa yang dapat Anda lakukan untuk melindungi organisasi Anda dari karakter jahat yang tampaknya ada di mana-mana akhir-akhir ini.
Jadi presenter hari ini adalah Vicky Harp yang menelepon dari IDERA. Anda dapat melihat Perangkat Lunak IDERA di LinkedIn - Saya menyukai fungsionalitas baru di LinkedIn. Meskipun saya tahu mereka menarik beberapa hal dengan cara tertentu, tidak membiarkan Anda mengakses orang, mencoba membuat Anda membeli keanggotaan premium itu. Ini dia, kami memiliki Robin Bloor kami sendiri, menghubungi - dia sebenarnya ada di wilayah San Diego hari ini. Dan Anda benar-benar sebagai moderator / analis Anda.
Jadi apa yang kita bicarakan? Pelanggaran data. Saya baru saja mengambil informasi ini dari IdentityForce.com, sudah dimatikan untuk balapan. Kami berada di bulan Mei tentu saja tahun ini, dan hanya ada satu ton pelanggaran data, ada beberapa yang sangat besar, tentu saja, oleh Yahoo! adalah yang besar, dan kami mendengar tentu saja pemerintah AS diretas. Kami baru saja pemilihan Prancis diretas.
Ini terjadi di mana-mana, terus dan tidak akan berhenti, jadi ini adalah kenyataan, ini kenyataan baru, seperti yang mereka katakan. Kami benar-benar perlu memikirkan cara untuk menegakkan keamanan sistem kami dan data kami. Dan ini adalah proses yang berkelanjutan, jadi tepat pada waktunya untuk memikirkan semua masalah berbeda yang ikut bermain. Ini hanya sebagian daftar, tetapi ini memberi Anda beberapa perspektif tentang betapa gentingnya situasi saat ini dengan sistem perusahaan. Dan sebelum pertunjukan ini, dalam olok-olok pra-pertunjukan kami, kami berbicara tentang ransomware yang telah mengenai seseorang yang saya kenal, yang merupakan pengalaman yang sangat tidak menyenangkan, ketika seseorang mengambil alih iPhone Anda dan meminta uang agar Anda mendapatkan kembali akses ke telepon Anda. Tapi itu terjadi, itu terjadi pada komputer, itu terjadi pada sistem, saya melihat beberapa hari yang lalu, itu terjadi pada miliarder dengan kapal pesiar mereka. Bayangkan pergi ke kapal pesiar Anda suatu hari, mencoba mengesankan semua teman Anda dan Anda bahkan tidak bisa menyalakannya, karena beberapa pencuri telah mencuri akses ke kontrol, panel kontrol. Saya hanya mengatakan suatu hari dalam sebuah wawancara dengan seseorang, selalu memiliki manual menimpa. Seperti, saya bukan penggemar berat semua mobil yang terhubung - bahkan mobil bisa diretas. Apa pun yang terhubung ke internet, atau terhubung ke jaringan yang dapat ditembus dapat diretas, apa saja.
Jadi, berikut ini hanya beberapa hal yang perlu dipertimbangkan dalam hal membingkai konteks seberapa serius situasinya. Sistem berbasis web ada dimana-mana akhir-akhir ini, mereka terus berkembang biak. Berapa banyak orang yang membeli barang secara online? Ini hanya melalui atap hari ini, itu sebabnya Amazon adalah kekuatan yang kuat hari ini. Itu karena begitu banyak orang membeli barang secara online.
Jadi, Anda ingat saat itu, 15 tahun yang lalu, orang-orang sangat gugup memasukkan kartu kredit mereka ke dalam formulir web untuk mendapatkan informasi mereka, dan saat itu, argumennya adalah, “Ya, jika Anda menyerahkan kartu kredit Anda kepada pelayan di sebuah restoran, maka itu adalah hal yang sama. ”Jadi, jawaban kami adalah ya, itu adalah hal yang sama, ada semua titik kontrol ini, atau titik akses, hal yang sama, sisi berbeda dari koin yang sama, di mana orang dapat ditempatkan dalam bahaya, di mana seseorang dapat mengambil uang Anda, atau seseorang dapat mencuri dari Anda.
Lalu IOT tentu saja memperluas bentang alam ancaman - Saya suka kata itu - atas perintah besarnya. Maksud saya, pikirkanlah - dengan semua perangkat baru ini di mana-mana, jika seseorang dapat meretas ke dalam sistem yang mengontrolnya, mereka dapat mengubah semua bot itu terhadap Anda dan menyebabkan banyak dan banyak masalah, jadi itu adalah masalah yang sangat serius. Kami memiliki ekonomi global akhir-akhir ini, yang semakin memperluas bentang alam ancaman, dan terlebih lagi, Anda memiliki orang-orang di negara lain yang dapat mengakses web dengan cara yang sama seperti Anda dan saya, dan jika Anda tidak tahu bagaimana berbicara bahasa Rusia, atau sejumlah bahasa lain, Anda akan kesulitan memahami apa yang terjadi ketika mereka meretas sistem Anda. Jadi kami memiliki kemajuan dalam jaringan dan virtualisasi, itu bagus.
Tetapi saya memiliki di sisi kanan gambar ini di sini, sebuah pedang dan alasan saya memilikinya di sana adalah karena setiap pedang memotong dua arah. Itu adalah pedang bermata dua, seperti yang mereka katakan, dan ini adalah klise lama, tetapi itu berarti pedang yang aku miliki dapat membahayakanmu atau itu bisa membahayakanku. Itu bisa kembali pada saya, baik dengan bangkit kembali, atau oleh seseorang yang mengambilnya. Ini sebenarnya salah satu dongeng Aesop - kita sering memberi musuh kita alat penghancuran kita sendiri. Ini benar-benar alur cerita yang menarik dan berkaitan dengan seseorang yang menggunakan busur dan anak panah dan menembak jatuh seekor burung dan burung itu melihat, saat anak panah itu muncul, bulu dari seekor teman unggasnya ada di tepi panah, di belakang panah untuk membimbingnya, dan dia berpikir dalam hati, “Ya ampun, ini dia, buluku sendiri, keluargaku sendiri akan terbiasa untuk menjatuhkanku.” Itu terjadi sepanjang waktu, kamu dengar statistik tentang Anda memiliki pistol di rumah, pencuri dapat mengambil pistol. Ya, ini semua benar. Jadi, saya melempar ini ke luar sebagai analogi hanya untuk mempertimbangkan, semua perkembangan yang berbeda ini memiliki sisi positif dan sisi negatif.
Dan berbicara tentang, wadah untuk Anda yang benar-benar mengikuti ujung tombak komputasi perusahaan, wadah adalah hal terbaru, cara terbaru untuk memberikan fungsionalitas, itu benar-benar perkawinan virtualisasi dalam arsitektur berorientasi layanan, setidaknya untuk layanan mikro dan itu hal yang sangat menarik. Anda tentu dapat mengaburkan protokol keamanan Anda dan protokol aplikasi Anda dan data Anda dan sebagainya, dengan menggunakan wadah, dan itu memberi Anda uang muka untuk jangka waktu tertentu, tetapi cepat atau lambat, orang-orang jahat akan mencari tahu, dan maka akan menjadi lebih sulit untuk mencegah mereka mengambil keuntungan dari sistem Anda. Jadi, ada itu, ada tenaga kerja global yang menyulitkan jaringan dan keamanan, dan dari mana orang-orang masuk.
Kami memiliki perang peramban yang terus berlanjut, dan membutuhkan pekerjaan yang terus-menerus untuk memperbarui dan tetap teratas. Kami terus mendengar tentang browser Microsoft Explorer lama, bagaimana mereka diretas dan tersedia di sana. Jadi, ada lebih banyak uang yang bisa dihasilkan dari peretasan hari ini, ada seluruh industri, ini adalah sesuatu yang diajarkan oleh pasangan saya, Dr. Bloor delapan tahun lalu - Saya bertanya-tanya mengapa kita melihat begitu banyak, dan dia mengingatkan saya, ini seluruh industri yang terlibat dalam peretasan. Dan dalam hal itu, narasi, yang merupakan salah satu kata favorit saya tentang keamanan, benar-benar sangat tidak jujur, karena narasi menunjukkan kepada Anda di semua video ini dan segala jenis liputan berita tentang beberapa peretasan yang mereka perlihatkan pada seorang pria dengan hoodie, duduk di ruang bawah tanahnya di ruangan gelap yang terang, itu sama sekali tidak terjadi. Itu sama sekali tidak mewakili kenyataan. Ini adalah satu-satunya peretas, hanya ada sedikit peretas, mereka di luar sana, mereka menyebabkan beberapa masalah - mereka tidak akan menyebabkan masalah besar, tetapi mereka dapat menghasilkan banyak uang. Jadi apa yang terjadi adalah para peretas masuk, dan menembus sistem Anda dan kemudian menjual akses itu ke orang lain, yang berbalik dan menjualnya kepada orang lain, dan kemudian di suatu tempat, seseorang mengeksploitasi peretasan itu dan mengambil keuntungan dari Anda. Dan ada banyak cara untuk mengambil keuntungan dari data yang dicuri.
Saya bahkan kagum pada diri sendiri tentang bagaimana kita mengagungkan konsep ini. Anda melihat istilah ini di mana-mana, "peretasan pertumbuhan" seperti itu adalah hal yang baik. Pertumbuhan peretasan, Anda tahu, peretasan bisa menjadi hal yang baik, jika Anda mencoba bekerja untuk orang-orang baik sehingga berbicara dan meretas ke dalam sistem, seperti kita terus mendengar tentang Korea Utara dan peluncuran rudal mereka, berpotensi diretas - itu bagus. Tetapi peretasan seringkali merupakan hal yang buruk. Jadi sekarang kita mengagungkannya, hampir seperti Robin Hood, ketika kita mengagungkan Robin Hood. Dan kemudian ada masyarakat tanpa uang tunai, sesuatu yang terus terang menjadi perhatian saya. Yang saya pikirkan setiap kali saya mendengar itu adalah, “Tidak, tolong jangan lakukan itu! Tolong jangan! ”Saya tidak ingin semua uang kita hilang. Jadi, ini hanya beberapa masalah untuk dipertimbangkan, dan sekali lagi, ini adalah permainan kucing-dan-tikus; itu tidak akan pernah berhenti, akan selalu ada kebutuhan untuk protokol keamanan dan untuk memajukan protokol keamanan. Dan untuk memantau sistem Anda bahkan untuk mengetahui dan merasakan siapa yang ada di luar sana, dengan pengertian bahwa itu bahkan bisa menjadi pekerjaan orang dalam. Jadi, ini adalah masalah yang sedang berlangsung, ini akan menjadi masalah yang sedang berlangsung untuk beberapa waktu - jangan membuat kesalahan tentang itu.
Dan dengan itu, saya akan menyerahkannya kepada Dr. Bloor, yang dapat berbagi dengan kami beberapa pemikiran tentang mengamankan basis data. Robin, bawa pergi.
Robin Bloor: Oke, salah satu peretasan yang menarik, saya pikir itu terjadi sekitar lima tahun yang lalu, tetapi pada dasarnya itu adalah perusahaan pemrosesan kartu yang diretas. Dan sejumlah besar detail kartu dicuri. Tetapi hal yang menarik tentang hal itu, bagi saya, adalah fakta bahwa itu adalah basis data uji yang benar-benar mereka peroleh, dan mungkin itulah masalahnya bahwa mereka mengalami kesulitan besar untuk masuk ke dalam basis data pemrosesan kartu yang sebenarnya dan nyata. Tapi Anda tahu bagaimana ini dengan pengembang, mereka hanya mengambil potongan database, mendorongnya di sana. Harus ada kewaspadaan yang jauh lebih besar untuk menghentikan itu. Tapi ada banyak cerita peretasan yang menarik, itu membuat di satu daerah, itu membuat topik yang sangat menarik.
Jadi saya akan benar-benar, dengan satu atau lain cara, mengulangi beberapa hal yang dikatakan Eric, tetapi mudah untuk memikirkan keamanan data sebagai target statis; lebih mudah hanya karena lebih mudah untuk menganalisis situasi statis dan kemudian berpikir untuk memasukkan pertahanan, pertahanan di sana, tetapi tidak. Ini target yang bergerak dan itu adalah salah satu hal yang mendefinisikan seluruh ruang keamanan. Hanya dengan cara semua teknologi berevolusi, teknologi orang jahat berevolusi juga. Jadi, gambaran singkat: Pencurian data bukanlah hal yang baru, pada kenyataannya, spionase data adalah pencurian data dan itu telah berlangsung selama ribuan tahun, saya pikir.
Pencurian data terbesar dalam istilah itu adalah Inggris melanggar kode Jerman dan Amerika melanggar kode Jepang, dan cukup banyak dalam kedua kasus mereka memperpendek perang sangat. Dan mereka hanya mencuri data yang berguna dan berharga, tentu saja sangat pintar, tetapi Anda tahu, apa yang terjadi saat ini sangat pintar dalam banyak hal. Pencurian dunia maya lahir dengan internet dan meledak sekitar tahun 2005. Saya pergi dan melihat semua statistik dan ketika Anda mulai menjadi sangat serius dan, dalam beberapa hal, angka yang sangat tinggi mulai sekitar tahun 2005. Hanya saja semakin buruk sejak kemudian. Banyak pemain, pemerintah terlibat, bisnis terlibat, kelompok peretas dan individu.
Saya pergi ke Moskow - itu pasti sekitar lima tahun - dan saya benar-benar menghabiskan banyak waktu dengan seorang pria dari Inggris, yang meneliti seluruh ruang peretasan. Dan dia mengatakan itu - dan saya tidak tahu apakah ini benar, saya hanya punya kata-kata untuk itu, tapi sepertinya sangat mungkin - bahwa di Rusia ada sesuatu yang disebut Business Network, yang merupakan sekelompok peretas yang semuanya, Anda tahu, mereka keluar dari reruntuhan KGB. Dan mereka menjual diri mereka sendiri, bukan hanya, maksud saya, saya yakin pemerintah Rusia menggunakannya, tetapi mereka menjual diri mereka kepada siapa saja, dan itu dikabarkan, atau dia mengatakan dikabarkan, bahwa berbagai pemerintah asing menggunakan Jaringan Bisnis untuk penyangkalan yang masuk akal. Orang-orang ini memiliki jaringan jutaan PC yang dikompromikan yang dapat mereka serang. Dan mereka memiliki semua alat yang dapat Anda bayangkan.
Jadi, teknologi serangan dan pertahanan berkembang. Dan bisnis memiliki kewajiban menjaga data mereka, apakah mereka memilikinya atau tidak. Dan itu mulai menjadi lebih jelas dalam hal berbagai peraturan yang sebenarnya sudah berlaku, atau mulai berlaku. Dan kemungkinan akan meningkat, seseorang dengan satu atau lain cara, seseorang harus menanggung biaya peretasan sedemikian rupa sehingga mereka diminta untuk menutup kemungkinan. Itu salah satu hal yang saya kira perlu. Jadi tentang peretas, mereka dapat ditemukan di mana saja. Khususnya di dalam organisasi Anda - banyak sekali peretasan cerdik yang saya dengar melibatkan seseorang membuka pintu. Anda tahu, orang itu, seperti situasi perampok bank, hampir selalu mereka katakan dalam perampokan bank yang baik ada orang dalam. Tetapi orang dalam hanya perlu memberikan informasi, sehingga sulit untuk mendapatkannya, untuk mengetahui siapa orang itu, dan seterusnya dan seterusnya.
Dan mungkin sulit untuk membawa mereka ke pengadilan, karena jika Anda diretas oleh sekelompok orang di Moldova, bahkan jika Anda tahu itu kelompok itu, bagaimana Anda akan membuat semacam acara hukum terjadi di sekitar mereka? Semacam itu, dari satu yurisdiksi ke yurisdiksi lain, hanya saja, tidak ada seperangkat pengaturan internasional yang sangat baik untuk menjabarkan para peretas. Mereka berbagi teknologi dan informasi; banyak dari itu adalah open source. Jika Anda ingin membuat virus sendiri, ada banyak paket virus di luar sana - sepenuhnya open source. Dan mereka memiliki sumber daya yang cukup besar, ada sejumlah botnet yang memiliki lebih dari satu juta perangkat yang dikompromikan di pusat data dan pada PC dan sebagainya. Beberapa adalah bisnis yang menguntungkan yang telah berjalan lama, dan kemudian ada kelompok pemerintah, seperti yang saya sebutkan. Itu tidak mungkin, seperti kata Eric, tidak mungkin fenomena ini akan berakhir.
Jadi, ini adalah retasan yang menarik. Saya pikir saya akan menyebutkannya, karena ini adalah retasan yang baru; itu terjadi tahun lalu. Ada kerentanan dalam kontrak DAO yang terkait dengan koin crypto Etherium. Dan itu dibahas di forum, dan dalam sehari, kontrak DAO diretas, menggunakan kerentanan itu dengan tepat. $ 50 juta dalam eter disedot, menyebabkan krisis langsung dalam proyek DAO dan menutupnya. Dan Etherium benar-benar berjuang untuk mencoba dan menjaga hacker dari akses ke uang, dan mereka agak mengurangi pendapatnya. Tetapi juga diyakini - tidak diketahui secara pasti - bahwa peretas itu sebenarnya memangkas harga eter sebelum serangannya, mengetahui bahwa harga eter akan runtuh, dan dengan demikian menghasilkan keuntungan dengan cara lain.
Dan itu lain, jika Anda suka, siasat yang bisa digunakan para peretas. Jika mereka dapat merusak harga saham Anda, dan mereka tahu mereka akan melakukannya, maka mereka hanya perlu memperpendek harga saham dan melakukan peretasan, jadi ini semacam, orang-orang ini pintar, Anda tahu. Dan harganya adalah pencurian uang, gangguan, dan tebusan, termasuk investasi, di mana Anda mengganggu dan memperpendek stok, sabotase, pencurian identitas, segala macam penipuan, hanya demi iklan. Dan itu cenderung politis, atau jelas, memata-matai informasi dan bahkan ada orang yang mencari nafkah dari karunia bug yang dapat Anda peroleh dengan mencoba meretas Google, Apple, Facebook - bahkan Pentagon, benar-benar memberikan karunia bug. Dan Anda baru saja meretas; jika itu berhasil, maka Anda hanya pergi dan mengklaim hadiah Anda, dan tidak ada kerusakan yang dilakukan, jadi itu hal yang baik, Anda tahu.
Saya mungkin juga menyebutkan kepatuhan dan regulasi. Selain inisiatif sektor, ada banyak peraturan resmi: HIPAA, SOX, FISMA, FERPA dan GLBA semuanya adalah undang-undang AS. Ada standar; PCI-DSS telah menjadi standar yang cukup umum. Dan kemudian ada ISO 17799 tentang kepemilikan data. Peraturan nasional berbeda di setiap negara, bahkan di Eropa. Dan saat ini GDPR - Data Global, apa artinya? Peraturan Perlindungan Data Global, saya pikir itu adalah kependekan dari - tapi itu mulai berlaku tahun depan, katanya. Dan hal yang menarik tentang itu adalah bahwa itu berlaku di seluruh dunia. Jika Anda memiliki 5.000 pelanggan atau lebih, yang menjadi tujuan Anda mendapatkan informasi pribadi dan mereka tinggal di Eropa, maka Eropa akan benar-benar membawa Anda ke tempat tugas, tidak peduli perusahaan Anda sebenarnya bermarkas, atau di mana ia beroperasi. Dan hukumannya, hukuman maksimumnya adalah empat persen dari pendapatan tahunan, yang sangat besar, sehingga akan menjadi twist yang menarik di dunia, ketika itu mulai berlaku.
Hal-hal yang perlu dipikirkan, baik, kerentanan DBMS, sebagian besar data berharga sebenarnya duduk di database. Ini berharga karena kami telah meluangkan banyak waktu untuk membuatnya tersedia dan mengelolanya dengan baik dan itu membuatnya lebih rentan, jika Anda tidak benar-benar menerapkan sekuritas DBMS yang tepat. Jelas, jika Anda berencana untuk hal-hal seperti ini, Anda perlu mengidentifikasi apa data yang rentan di seluruh organisasi, mengingat bahwa data dapat rentan karena berbagai alasan. Ini bisa berupa data pelanggan, tetapi bisa juga berupa dokumen internal yang akan berharga untuk keperluan spionase dan sebagainya. Kebijakan keamanan, khususnya yang berkaitan dengan keamanan akses - yang belakangan ini menurut saya sangat lemah, dalam hal-hal open source baru - enkripsi semakin banyak digunakan karena cukup solid.
Biaya pelanggaran keamanan, kebanyakan orang tidak tahu, tetapi jika Anda benar-benar melihat apa yang terjadi dengan organisasi yang mengalami pelanggaran keamanan, ternyata biaya pelanggaran keamanan seringkali jauh lebih tinggi daripada yang Anda pikirkan. . Dan hal lain yang perlu dipikirkan adalah permukaan serangan, karena setiap perangkat lunak di mana saja, berjalan dengan organisasi Anda menghadirkan permukaan serangan. Begitu juga salah satu perangkat, begitu juga data, tidak peduli bagaimana itu disimpan. Itu semua, permukaan serangan tumbuh dengan internet hal, permukaan serangan mungkin akan berlipat ganda.
Jadi, akhirnya, DBA dan keamanan data. Keamanan data biasanya merupakan bagian dari peran DBA. Tapi ini juga kolaboratif. Dan itu harus tunduk pada kebijakan perusahaan, kalau tidak mungkin tidak akan dilaksanakan dengan baik. Karena itu, saya pikir saya bisa mengoper bola.
Eric Kavanagh: Baiklah, izinkan saya memberikan kunci kepada Vicky. Dan Anda dapat membagikan layar Anda atau pindah ke slide ini, terserah Anda, ambil saja.
Vicky Harp: Tidak, saya akan mulai dengan slide ini, terima kasih banyak. Jadi, ya, saya hanya ingin mengambil momen cepat dan memperkenalkan diri. Saya Vicky Harp. Saya seorang manajer, manajemen produk untuk produk SQL di perangkat lunak IDERA, dan bagi Anda yang mungkin tidak terbiasa dengan kami, IDERA memiliki sejumlah lini produk, tetapi saya di sini berbicara untuk sisi SQL Server. Jadi, kami melakukan pemantauan kinerja, kepatuhan keamanan, cadangan, alat administrasi - dan itu hanya semacam daftar mereka. Dan tentu saja, apa yang saya bicarakan di sini hari ini adalah keamanan dan kepatuhan.
Sebagian besar dari apa yang ingin saya bicarakan hari ini belum tentu merupakan produk kami, meskipun saya bermaksud menunjukkan beberapa contohnya nanti. Saya ingin berbicara lebih banyak tentang keamanan basis data, beberapa ancaman di dunia keamanan basis data saat ini, beberapa hal untuk dipikirkan, dan beberapa ide pengantar tentang apa yang perlu Anda perhatikan untuk mengamankan SQL Anda Database server dan juga untuk memastikan bahwa mereka sesuai dengan kerangka kerja peraturan yang Anda mungkin tunduk pada, seperti yang disebutkan. Ada banyak peraturan berbeda yang berlaku; mereka pergi pada industri yang berbeda, tempat yang berbeda di seluruh dunia, dan ini adalah hal yang harus dipikirkan.
Jadi, saya agak ingin mengambil waktu sejenak dan berbicara tentang keadaan pelanggaran data - dan tidak mengulangi terlalu banyak dari apa yang telah dibahas di sini - saya sedang melihat studi penelitian keamanan Intel baru-baru ini, dan lintas mereka - saya pikir 1500 atau lebih organisasi yang mereka ajak bicara - mereka memiliki rata-rata enam pelanggaran keamanan, dalam hal pelanggaran kehilangan data, dan 68 persen dari mereka telah meminta pengungkapan dalam beberapa hal, sehingga mereka mempengaruhi harga saham, atau mereka harus melakukan kredit pemantauan untuk pelanggan atau karyawan mereka, dll.
Beberapa statistik lain yang menarik adalah bahwa aktor internal yang bertanggung jawab atas 43 persen dari mereka. Jadi, banyak orang berpikir banyak tentang peretas dan organisasi semu pemerintah semu atau kejahatan terorganisir, dll., Tetapi aktor internal masih secara langsung mengambil tindakan terhadap majikan mereka, dalam sebagian besar kasus. Dan ini terkadang lebih sulit untuk dilindungi, karena orang mungkin memiliki alasan yang sah untuk memiliki akses ke data itu. Sekitar setengah dari itu, 43 persen dalam beberapa hal adalah kehilangan karena kecelakaan. Jadi, misalnya, dalam kasus di mana seseorang membawa pulang data, dan kemudian kehilangan jejak data itu, yang membawa saya ke poin ketiga ini, yaitu hal-hal yang menyangkut media fisik masih melibatkan 40 persen dari pelanggaran. Jadi, itu kunci USB, itu laptop orang, itu media aktual yang dibakar ke cakram fisik dan dikeluarkan dari gedung.
Jika Anda pikirkan, apakah Anda memiliki pengembang yang memiliki salinan dev dari basis data produksi Anda di laptop mereka? Kemudian mereka pergi naik pesawat dan turun dari pesawat, dan mereka mengambil bagasi terdaftar dan laptop mereka dicuri. Anda sekarang mengalami pelanggaran data. Anda mungkin tidak selalu berpikir bahwa itu sebabnya laptop itu diambil, mungkin tidak pernah muncul di alam liar. Tapi itu masih sesuatu yang dianggap sebagai pelanggaran, itu akan membutuhkan pengungkapan, Anda akan memiliki semua efek hilir karena kehilangan data itu, hanya karena hilangnya media fisik itu.
Dan hal menarik lainnya adalah bahwa banyak orang berpikir tentang data kredit, dan informasi kartu kredit sebagai yang paling berharga, tetapi itu tidak benar-benar terjadi lagi. Data itu berharga, nomor kartu kredit berguna, tetapi jujur, angka itu diubah dengan sangat cepat, sedangkan data pribadi orang tidak berubah dengan sangat cepat. Sesuatu yang menjadi berita baru, relatif baru, VTech, pembuat mainan memiliki mainan yang dirancang untuk anak-anak. Dan orang-orang akan, mereka akan memiliki nama anak-anak mereka, mereka akan memiliki informasi tentang di mana anak-anak tinggal, mereka memiliki nama orang tua mereka, mereka memiliki foto-foto anak-anak. Tidak ada yang dienkripsi, karena itu tidak dianggap penting. Tapi kata sandi mereka dienkripsi. Nah, ketika pelanggaran itu tak terhindarkan terjadi, Anda berkata, “Oke, jadi saya punya daftar nama anak-anak, nama orang tua mereka, di mana mereka tinggal - semua informasi ini ada di luar sana, dan Anda berpikir bahwa kata sandinya apakah bagian yang paling berharga dari itu? ”Bukan; orang tidak dapat mengubah aspek-aspek tentang data pribadi mereka, alamat mereka, dll. Dan sehingga informasi itu sebenarnya sangat berharga dan perlu dilindungi.
Jadi, ingin berbicara tentang beberapa hal yang sedang terjadi, untuk berkontribusi pada cara terjadinya pelanggaran data saat ini. Salah satu hotspot besar, ruang sekarang adalah rekayasa sosial. Jadi orang menyebutnya phishing, ada peniruan, dll., Di mana orang mendapatkan akses ke data, seringkali melalui aktor internal, dengan hanya meyakinkan mereka bahwa mereka seharusnya memiliki akses ke data itu. Jadi, beberapa hari yang lalu, kami memiliki worm Google Documents yang beredar. Dan apa yang akan terjadi - dan saya benar-benar menerima salinannya, walaupun untungnya saya tidak mengkliknya - Anda menerima email dari seorang kolega, mengatakan, “Ini tautan Google Doc; Anda perlu mengklik ini untuk melihat apa yang baru saja saya bagikan dengan Anda. ”Ya, di organisasi yang menggunakan Google Documents, itu sangat konvensional, Anda akan mendapatkan lusinan permintaan itu sehari. Jika Anda mengkliknya, itu akan meminta Anda izin untuk mengakses dokumen ini, dan mungkin Anda akan berkata, "Hei, itu terlihat sedikit aneh, tetapi Anda tahu, itu terlihat sah juga, jadi saya akan melanjutkan dan klik di atasnya, ”dan segera setelah Anda melakukannya, Anda memberi akses pihak ketiga ini ke semua dokumen Google Anda, dan karenanya, membuat tautan ini agar aktor eksternal ini memiliki akses ke semua dokumen Anda di Google Drive. Ini cacing di semua tempat. Itu melanda ratusan ribu orang dalam hitungan jam. Dan ini pada dasarnya adalah serangan phishing yang akhirnya ditutup sendiri oleh Google, karena dieksekusi dengan sangat baik. Orang-orang jatuh cinta padanya.
Saya menyebutkan di sini pelanggaran SDM SnapChat. Ini hanya masalah sederhana dari seseorang yang mengirim email, menyamar sebagai mereka adalah CEO, mengirim email ke departemen SDM, mengatakan, "Saya ingin Anda mengirimi saya spreadsheet ini." Dan mereka mempercayainya, dan mereka meletakkan spreadsheet dengan 700 karyawan yang berbeda 'Informasi kompensasi, alamat rumah mereka, dll., mengirimkannya melalui email ke pihak lain ini, itu sebenarnya bukan CEO. Sekarang, data sudah keluar, dan semua informasi pribadi dan pribadi karyawan mereka ada di luar sana dan tersedia untuk dieksploitasi. Jadi, rekayasa sosial adalah sesuatu yang saya sebutkan di dunia basis data, karena ini adalah sesuatu yang dapat Anda coba pertahankan melalui pendidikan, tetapi Anda juga harus ingat bahwa di mana pun Anda memiliki orang yang berinteraksi dengan teknologi Anda, dan jika Anda mengandalkan penilaian mereka yang baik untuk mencegah pemadaman, Anda meminta banyak dari mereka.
Orang-orang membuat kesalahan, orang mengklik pada hal-hal yang seharusnya tidak mereka miliki, orang-orang jatuh cinta pada tipuan yang pintar. Dan Anda dapat berusaha sangat keras untuk melindungi mereka terhadapnya, tetapi itu tidak cukup kuat, Anda perlu mencoba membatasi kemampuan orang untuk secara tidak sengaja memberikan informasi ini dalam sistem basis data Anda. Hal lain yang ingin saya sebutkan bahwa yang jelas kita bicarakan adalah ransomware, botnet, virus - semua cara otomatis yang berbeda ini. Jadi apa yang saya pikir penting untuk dipahami tentang ransomware adalah benar-benar mengubah model laba untuk penyerang. Jika Anda berbicara tentang pelanggaran, mereka harus, dalam beberapa hal, mengekstrak data dan memilikinya untuk diri mereka sendiri dan memanfaatkannya. Dan jika data Anda tidak jelas, jika dienkripsi, jika spesifik industri, mungkin mereka tidak memiliki nilai untuk itu.
Sampai saat ini, orang mungkin merasa seperti itu adalah perlindungan bagi mereka, “Saya tidak perlu melindungi diri dari pelanggaran data, karena jika mereka akan masuk ke sistem saya, semua yang mereka miliki adalah, saya adalah studio fotografi, saya memiliki daftar siapa yang akan datang pada hari apa untuk tahun berikutnya. Siapa yang peduli tentang itu? ”Ternyata jawabannya adalah Anda peduli akan hal itu; Anda menyimpan informasi itu, itu informasi penting bisnis Anda. Jadi, dengan menggunakan ransomware, seorang penyerang akan berkata, "Yah, tidak ada orang lain yang akan memberi saya uang untuk ini, tetapi Anda akan melakukannya." Jadi, mereka memanfaatkan fakta bahwa mereka bahkan tidak perlu mengeluarkan data, mereka tidak Bahkan tidak harus memiliki pelanggaran, mereka hanya perlu menggunakan alat keamanan secara ofensif terhadap Anda. Mereka masuk ke database Anda, mereka mengenkripsi konten itu, dan kemudian mereka berkata, "Oke, kami punya kata sandi, dan Anda harus membayar kami $ 5.000 untuk mendapatkan kata sandi itu, atau Anda tidak punya data ini lagi. "
Dan orang membayar; mereka merasa harus melakukan itu. MongoDB punya semacam masalah besar beberapa bulan yang lalu, saya kira itu pada bulan Januari, di mana ransomware melanda, saya pikir, lebih dari satu juta database MongoDB yang mereka miliki di depan umum ke internet, berdasarkan pada beberapa pengaturan default. Dan yang membuatnya lebih buruk adalah bahwa orang membayar dan organisasi lain akan datang dan mengenkripsi ulang atau mengklaim telah menjadi orang-orang yang awalnya mengenkripsi itu, jadi ketika Anda membayar uang Anda, dan saya pikir dalam kasus itu mereka meminta sesuatu seperti $ 500, orang-orang akan berkata, “Oke, saya akan membayar lebih dari itu untuk membayar seorang peneliti untuk masuk ke sini untuk membantu saya mencari tahu apa yang salah. Saya hanya akan membayar $ 500. "Dan mereka bahkan tidak membayarnya kepada aktor yang tepat, sehingga mereka akan ditumpuk dengan sepuluh organisasi yang berbeda mengatakan kepada mereka, " Kami punya kata sandi, "atau" Kami sudah mendapatkan cara bagi Anda untuk membuka kunci data tebusan Anda. ”Dan Anda harus membayar semuanya agar bisa berfungsi.
Ada juga kasus di mana penulis ransomware memiliki bug, maksud saya, kita tidak membicarakannya sebagai situasi yang sempurna, jadi bahkan setelah diserang, bahkan setelah Anda membayar, tidak ada jaminan bahwa Anda akan mendapatkan semua data Anda kembali, beberapa di antaranya menjadi rumit juga oleh alat InfoSec yang dipersenjatai. Jadi Shadow Brokers adalah grup yang telah membocorkan alat yang berasal dari NSA. Mereka adalah alat yang dirancang oleh entitas pemerintah untuk tujuan spionase dan benar-benar bekerja melawan entitas pemerintah lainnya. Beberapa di antaranya adalah serangan zero-day profil tinggi, yang pada dasarnya membuat protokol keamanan yang diketahui hanya gagal. Jadi ada kerentanan utama dalam protokol SMB misalnya, di salah satu dump Shadow Brokers baru-baru ini.
Dan alat-alat yang datang ke sini bisa, dalam beberapa jam, benar-benar mengubah permainan pada Anda, dalam hal permukaan serangan Anda. Jadi, setiap kali saya memikirkan hal ini, itu adalah sesuatu yang pada level organisasi, keamanan InfoSec adalah fungsinya sendiri, ia perlu ditanggapi dengan serius. Setiap kali kita berbicara tentang basis data, saya bisa mencatatnya sedikit, Anda tidak harus memiliki sebagai administrator database pemahaman penuh tentang apa yang terjadi dengan Shadow Brokers minggu ini, tetapi Anda perlu menyadari bahwa semua dari semua ini bergeser, ada hal-hal yang terjadi, dan sejauh mana Anda menjaga domain Anda tetap ketat dan aman, itu benar-benar akan membantu Anda dalam hal hal-hal semacam dirobek dari bawah Anda.
Jadi, saya ingin mengambil waktu sejenak di sini, sebelum pindah ke berbicara tentang SQL Server khusus, untuk benar-benar memiliki sedikit diskusi terbuka dengan panelis kami pada beberapa pertimbangan dengan keamanan basis data. Jadi, saya sudah sampai pada titik ini, beberapa hal yang belum kami sebutkan, saya ingin berbicara tentang injeksi SQL sebagai vektor. Jadi, ini adalah injeksi SQL, jelas itu cara orang memasukkan perintah ke dalam sistem basis data, dengan jenis input yang salah.
Eric Kavanagh: Ya, saya benar-benar bertemu dengan seorang pria - saya pikir itu di pangkalan Andrews Air Force - sekitar lima tahun yang lalu, seorang konsultan yang saya berbicara dengannya di lorong dan kami hanya berbagi cerita perang - tidak ada permainan kata-kata yang dimaksudkan - dan dia menyebutkan bahwa dia telah dibawa oleh seseorang untuk berkonsultasi dengan anggota militer yang cukup tinggi dan lelaki itu bertanya kepadanya, “Baiklah, bagaimana kita tahu bahwa Anda hebat dalam pekerjaan Anda?” Dan ini dan itu . Dan ketika dia berbicara dengan mereka yang dia gunakan di komputernya, dia masuk ke jaringan, dia menggunakan injeksi SQL untuk masuk ke dalam daftar email untuk basis itu dan untuk orang-orang itu. Dan dia menemukan email orang yang dia ajak bicara dan dia hanya menunjukkan kepadanya emailnya di mesinnya! Dan lelaki itu seperti, "Bagaimana Anda melakukan itu?" Dia berkata, "Yah, saya menggunakan injeksi SQL."
Jadi, itu baru lima tahun yang lalu, dan itu di pangkalan Angkatan Udara, kan? Jadi, maksud saya, dari segi konteks, benda ini masih sangat nyata dan bisa digunakan dengan efek yang sangat mengerikan. Maksud saya, saya ingin tahu tentang kisah perang apa pun yang dimiliki Robin tentang topik itu, tetapi semua teknik ini masih berlaku. Mereka masih digunakan dalam banyak kasus, dan itu adalah masalah mendidik diri sendiri, bukan?
Robin Bloor: Ya, benar. Ya, itu mungkin untuk bertahan melawan injeksi SQL dengan melakukan pekerjaan. Sangat mudah untuk memahami mengapa ketika ide itu ditemukan dan pertama kali berkembang biak, sangat mudah untuk memahami mengapa ide itu sangat sukses, karena Anda bisa menempelkannya di bidang input pada halaman web dan mendapatkannya untuk mengembalikan data untuk Anda, atau mendapatkan untuk menghapus data dalam database, atau apa pun - Anda bisa menyuntikkan kode SQL untuk melakukannya. Tapi itu hal yang menarik bagi saya, adalah bahwa Anda tahu, Anda harus melakukan sedikit penguraian, dari setiap bagian data yang dimasukkan, tetapi sangat mungkin untuk mengetahui bahwa seseorang berusaha melakukan itu. Dan itu benar-benar, saya pikir itu benar-benar, 'karena orang masih lolos begitu saja, maksud saya itu benar-benar aneh bahwa tidak ada cara mudah untuk memerangi itu. Anda tahu, bahwa setiap orang dapat dengan mudah menggunakan, maksud saya, sejauh yang saya tahu, belum ada, Vicky, bukan?
Vicky Harp: Ya, sebenarnya beberapa solusi sandera, seperti SQL Azure, saya pikir memiliki beberapa metode deteksi yang cukup bagus yang didasarkan pada pembelajaran mesin. Itu mungkin yang akan kita lihat di masa depan, adalah sesuatu yang sedang berusaha muncul dengan satu ukuran cocok untuk semua. Saya pikir jawabannya adalah tidak ada satu ukuran yang cocok untuk semua, tetapi kami memiliki mesin yang dapat mempelajari ukuran Anda dan memastikan bahwa Anda cocok untuk itu, kan? Dan jika Anda memiliki false positive, itu karena Anda benar-benar melakukan sesuatu yang tidak biasa, itu bukan karena Anda harus melalui dan dengan susah payah mengidentifikasi segala sesuatu yang mungkin dilakukan aplikasi Anda.
Saya pikir salah satu alasan mengapa ini masih sangat produktif adalah karena orang-orang masih bergantung pada aplikasi pihak ketiga, dan aplikasi dari ISVs dan yang dioleskan dari waktu ke waktu. Jadi, Anda berbicara tentang sebuah organisasi yang telah membeli aplikasi teknik yang ditulis pada tahun 2001. Dan mereka belum memperbaruinya, karena belum ada perubahan fungsional besar sejak itu, dan penulis asli itu semacam, mereka bukan seorang insinyur, mereka bukan ahli keamanan basis data, mereka tidak melakukan hal-hal dengan cara yang benar dalam aplikasi dan mereka akhirnya menjadi vektor. Pemahaman saya adalah bahwa - saya pikir itu adalah pelanggaran data Target, yang sangat besar - vektor serangan telah melalui salah satu pemasok AC mereka, kan? Jadi, masalah dengan pihak ketiga itu, Anda bisa, jika Anda memiliki toko pengembangan sendiri, Anda mungkin dapat memiliki beberapa aturan ini, melakukannya secara umum kapan saja. Sebagai sebuah organisasi Anda dapat menjalankan ratusan atau bahkan ribuan aplikasi, dengan semua profil yang berbeda. Saya pikir di situlah pembelajaran mesin akan datang dan mulai banyak membantu kami.
Kisah perang saya adalah kehidupan pendidikan. Saya harus melihat serangan injeksi SQL, dan sesuatu yang tidak pernah terpikir oleh saya adalah penggunaan SQL yang mudah dibaca. Saya melakukan hal-hal ini disebut kartu liburan P SQL yang dikaburkan; Saya suka melakukannya, Anda membuat SQL ini terlihat membingungkan mungkin. Ada kontes kode C ++ yang telah berlangsung beberapa dekade sekarang, dan ini merupakan ide yang sama. Jadi, apa yang sebenarnya Anda dapatkan adalah injeksi SQL yang berada di bidang string terbuka, menutup string, memasukkan koma, dan kemudian memasukkan perintah exec yang kemudian memiliki serangkaian angka dan kemudian pada dasarnya menggunakan perintah casting untuk melemparkan angka-angka itu ke dalam biner dan kemudian melemparkannya, pada gilirannya, ke dalam nilai karakter dan kemudian menjalankannya. Jadi, Anda tidak harus melihat sesuatu yang mengatakan, "Hapus startup dari tabel produksi, " itu sebenarnya dimasukkan ke dalam bidang numerik yang membuatnya lebih sulit untuk dilihat. Dan bahkan setelah Anda melihatnya, untuk mengidentifikasi apa yang terjadi, butuh beberapa suntikan SQL nyata, untuk dapat mengetahui apa yang terjadi, pada saat itu tentu saja pekerjaan sudah dilakukan.
Robin Bloor: Dan salah satu hal yang hanya merupakan fenomena di seluruh dunia peretasan adalah bahwa jika seseorang menemukan kelemahan dan kebetulan ada dalam perangkat lunak yang umumnya dijual, Anda tahu, salah satu masalah awal adalah kata sandi basis data yang Anda berikan ketika basis data dipasang, banyak basis data yang sebenarnya hanyalah default. Dan banyak DBA tidak pernah mengubahnya, dan karena itu Anda bisa masuk ke jaringan itu; Anda bisa saja mencoba kata sandi itu dan jika itu berhasil, Anda baru saja memenangkan lotre. Dan hal yang menarik adalah bahwa semua informasi itu sangat efisien dan efektif beredar di antara komunitas peretasan di situs web darknet. Dan mereka tahu. Jadi, mereka dapat melakukan banyak hal di luar sana, menemukan beberapa contoh dan secara otomatis melemparkan beberapa eksploitasi peretasan pada itu, dan mereka masuk. Dan itu, saya pikir, bahwa banyak orang yang setidaknya pada pinggiran semua ini, tidak benar-benar mengerti seberapa cepat jaringan peretasan merespon kerentanan.
Vicky Harp: Ya, itu benar-benar memunculkan hal lain yang ingin saya sebutkan sebelum saya melanjutkan, yang merupakan gagasan tentang penjejalan identitas, yang merupakan sesuatu yang telah banyak bermunculan, yaitu bahwa setelah kredensial Anda dicuri untuk seseorang di mana saja, di situs mana pun, kredensial tersebut akan dicoba untuk digunakan kembali di seluruh papan. Jadi, jika Anda menggunakan kata sandi duplikat, katakanlah, jika pengguna Anda, bahkan, mari kita bicara seperti itu, seseorang mungkin bisa mendapatkan akses melalui apa yang tampak sebagai seperangkat kredensial yang benar-benar valid. Jadi, katakanlah saya telah menggunakan kata sandi yang sama di Amazon dan di bank saya, dan juga di forum dan perangkat lunak forum diretas, well, mereka memiliki nama pengguna dan kata sandi saya. Dan mereka kemudian dapat menggunakan nama pengguna yang sama di Amazon, atau mereka menggunakannya di bank. Dan sejauh menyangkut bank, itu adalah login yang benar-benar valid. Sekarang, Anda dapat mengambil tindakan jahat melalui akses yang sepenuhnya diotorisasi.
Jadi, jenis itu kembali ke apa yang saya katakan tentang pelanggaran internal dan penggunaan internal. Jika Anda memiliki orang-orang di organisasi Anda yang menggunakan kata sandi yang sama untuk akses internal yang mereka lakukan untuk akses eksternal, Anda memiliki kemungkinan seseorang akan masuk dan menyamar sebagai Anda melalui pelanggaran di beberapa situs lain yang tidak Anda gunakan. bahkan tidak tahu tentang. Dan data ini disebarluaskan dengan sangat cepat. Ada daftar, saya pikir bahwa beban terbaru untuk "telah saya pwned" oleh Troy Hunt, dia mengatakan dia memiliki setengah miliar set kredensial, yaitu - jika Anda mempertimbangkan jumlah orang di planet ini - itu adalah sejumlah besar kredensial yang telah tersedia untuk isian kredensial.
Jadi, saya akan melangkah sedikit lebih dalam dan berbicara tentang keamanan SQL Server. Sekarang saya ingin mengatakan bahwa saya tidak akan mencoba memberi Anda semua yang perlu Anda ketahui untuk mengamankan SQL Server Anda dalam 20 menit ke depan; yang tampaknya agak sulit. Jadi, untuk memulai, saya ingin mengatakan bahwa ada grup online dan sumber daya online yang pasti Anda dapat Google, ada buku, ada dokumen praktik terbaik di Microsoft, ada bab virtual keamanan untuk rekan profesional di SQL Server, mereka ada di security.pass.org dan mereka memiliki, saya percaya, webcast bulanan dan rekaman webcast untuk memeriksa secara nyata, mendalam bagaimana melakukan keamanan SQL Server. Tapi ini adalah beberapa hal yang saya, berbicara kepada Anda sebagai profesional data, sebagai profesional TI, sebagai DBA, saya ingin Anda tahu bahwa Anda perlu tahu tentang keamanan SQL Server.
Jadi yang pertama adalah keamanan fisik. Jadi, seperti yang saya katakan sebelumnya, mencuri media fisik masih sangat umum. Jadi skenario yang saya berikan dengan mesin dev, dengan salinan database Anda di mesin dev yang dicuri - itu vektor yang sangat umum, itu vektor yang perlu Anda waspadai dan coba ambil tindakan terhadapnya. Ini juga berlaku untuk keamanan cadangan, jadi setiap kali Anda mencadangkan data, Anda harus mencadangkannya dienkripsi, Anda harus mencadangkan ke lokasi yang aman. Sering kali data ini yang benar-benar dilindungi dalam database, segera setelah mulai keluar ke lokasi pinggiran, ke mesin dev, ke mesin uji, kami menjadi sedikit kurang berhati-hati tentang penambalan, kami mendapat sedikit lebih sedikit hati-hati dengan orang yang memiliki akses ke sana. Hal berikutnya yang Anda tahu, Anda memiliki cadangan basis data yang tidak terenkripsi yang disimpan pada bagian publik di organisasi Anda yang tersedia untuk dieksploitasi dari banyak orang yang berbeda. Jadi, pikirkan tentang keamanan fisik dan sesederhana itu, dapatkah seseorang berjalan dan memasukkan kunci USB ke server Anda? Anda seharusnya tidak membiarkan itu terjadi.
Item berikutnya yang saya ingin Anda pikirkan adalah keamanan platform, jadi OS terbaru, patch terbaru. Sangat melelahkan untuk mendengar orang-orang berbicara tentang tetap menggunakan Windows versi lama, versi SQL Server yang lebih lama, berpikir bahwa satu-satunya biaya yang dimainkan adalah biaya peningkatan lisensi, yang tidak demikian. Kami dengan keamanan, itu adalah aliran yang terus menuruni bukit dan seiring berjalannya waktu, lebih banyak eksploitasi ditemukan. Microsoft dalam kasus ini, dan grup lain sebagai kasusnya, mereka akan memperbarui sistem yang lebih tua ke suatu titik, dan akhirnya mereka akan kehilangan dukungan dan mereka tidak akan memperbarui mereka lagi, karena itu hanya proses yang tidak pernah berakhir dari pemeliharaan.
Jadi, Anda harus menggunakan OS yang didukung dan Anda harus mendapatkan informasi terbaru tentang tambalan Anda, dan kami baru-baru ini seperti dengan Shadow Brokers, dalam beberapa kasus Microsoft mungkin memiliki wawasan tentang pelanggaran keamanan besar yang akan datang, sebelum mereka dipublikasikan, sebelum diungkapkan, jadi jangan biarkan diri Anda rusak. Saya lebih suka tidak mengambil waktu henti, saya lebih suka menunggu dan membaca masing-masing dari mereka dan memutuskan. Anda mungkin tidak tahu berapa nilainya sampai beberapa minggu kemudian setelah Anda mengetahui mengapa tambalan ini terjadi. Jadi, tetap di atas itu.
Anda harus mengonfigurasi firewall Anda. Sangat mengejutkan dalam pelanggaran SNB berapa banyak orang yang menjalankan versi SQL Server yang lebih lama dengan firewall yang sepenuhnya terbuka untuk internet, sehingga siapa pun dapat masuk dan melakukan apa pun yang mereka inginkan dengan server mereka. Anda harus menggunakan firewall. Fakta bahwa Anda sesekali harus mengonfigurasi aturan atau membuat pengecualian khusus untuk cara Anda menjalankan bisnis adalah harga yang pantas untuk dibayar. Anda perlu mengontrol area permukaan dalam sistem basis data Anda - apakah Anda ikut menginstal layanan atau server web seperti IIS pada mesin yang sama? Berbagi ruang disk yang sama, berbagi ruang memori yang sama dengan database Anda dan data pribadi Anda? Cobalah untuk tidak melakukannya, cobalah untuk mengisolasinya, pertahankan area permukaan lebih kecil, sehingga Anda tidak perlu terlalu khawatir memastikan semua aman di atas database. Anda dapat secara fisik memisahkan mereka, platform, memisahkan mereka, memberikan diri Anda sedikit ruang bernapas.
Anda seharusnya tidak memiliki admin super yang berkeliaran di mana-mana yang dapat memiliki akses ke semua data Anda. Akun admin OS mungkin tidak perlu memiliki akses ke database Anda, atau ke data yang mendasari dalam database melalui enkripsi, yang akan kita bicarakan sebentar lagi. Dan akses ke file database, Anda perlu membatasi itu juga. Agak konyol jika Anda mengatakan, seseorang tidak dapat mengakses database ini melalui database; SQL Server sendiri tidak akan mengizinkan mereka untuk mengaksesnya, tetapi jika kemudian mereka dapat berkeliling, mengambil salinan file MDF yang sebenarnya, memindahkannya begitu saja, lampirkan ke SQL Server mereka sendiri, Anda belum benar-benar menyelesaikannya banyak.
Enkripsi, begitu enkripsi adalah pedang dua arah yang terkenal itu. Ada banyak tingkat enkripsi berbeda yang dapat Anda lakukan di tingkat OS dan cara kontemporer melakukan sesuatu untuk SQL dan Windows adalah dengan BitLocker dan pada tingkat basis data itu disebut TDE atau enkripsi data transparan. Jadi, ini adalah kedua cara untuk menjaga data Anda tetap terenkripsi. Jika Anda ingin agar data Anda terenkripsi lebih komprehensif, Anda dapat melakukan enkripsi - maaf, saya agak melangkah maju. Anda dapat melakukan koneksi terenkripsi sehingga setiap kali dalam perjalanan, itu masih terenkripsi sehingga jika seseorang mendengarkan, atau memiliki seorang pria di tengah serangan, Anda memiliki beberapa perlindungan data tersebut melalui kabel. Cadangan Anda harus dienkripsi, seperti saya katakan, mereka mungkin dapat diakses oleh orang lain dan kemudian, jika Anda ingin dienkripsi dalam memori dan selama penggunaan, kami memiliki enkripsi kolom dan kemudian, SQL 2016 memiliki gagasan "selalu dienkripsi ”di mana itu sebenarnya dienkripsi pada disk, di memori, di kabel, sampai ke aplikasi yang benar-benar memanfaatkan data.
Sekarang, semua enkripsi ini tidak gratis: Ada overhead CPU, terkadang ada enkripsi kolom dan kasus yang selalu dienkripsi, ada implikasi pada kinerja dalam hal kemampuan Anda untuk mencari data tersebut. Namun, enkripsi ini, jika disatukan dengan benar, maka itu berarti bahwa jika seseorang mendapatkan akses ke data Anda, kerusakannya sangat berkurang, karena mereka bisa mendapatkannya dan kemudian mereka tidak dapat melakukan apa-apa dengannya. Namun, ini juga cara ransomware berfungsi, yaitu seseorang masuk dan mengaktifkan item-item ini, dengan sertifikat mereka sendiri atau kata sandi mereka sendiri dan Anda tidak memiliki akses ke sana. Jadi, itulah mengapa penting untuk memastikan bahwa Anda melakukan ini, dan Anda memiliki akses ke sana, tetapi Anda tidak memberikannya, terbuka bagi orang lain dan penyerang untuk melakukannya.
Dan kemudian, prinsip keamanan - Saya tidak akan membahas hal ini, tetapi pastikan bahwa Anda tidak memiliki setiap pengguna yang menjalankan SQL Server sebagai admin super. Pengembang Anda mungkin menginginkannya, pengguna yang berbeda mungkin menginginkannya - mereka frustrasi karena harus meminta akses untuk masing-masing item - tetapi Anda harus rajin tentang hal itu, dan meskipun itu mungkin lebih rumit, memberikan akses ke objek dan database dan skema yang valid untuk pekerjaan yang sedang berlangsung, dan ada kasus khusus, mungkin itu berarti login khusus, itu tidak berarti peningkatan hak, untuk pengguna kasus rata-rata.
Dan kemudian, ada pertimbangan kepatuhan peraturan yang cocok dengan ini dan beberapa kasus mungkin benar-benar berubah dengan caranya sendiri - jadi ada HIPAA, SOX, PCI - ada semua pertimbangan yang berbeda ini. Dan ketika Anda menjalani audit, Anda akan diharapkan untuk menunjukkan bahwa Anda mengambil tindakan untuk tetap mematuhi ini. Jadi, ini banyak yang harus dilacak, saya akan katakan sebagai daftar tugas yang harus dilakukan DBA, Anda berusaha memastikan keamanan konfigurasi enkripsi fisik, Anda mencoba memastikan bahwa akses ke data tersebut sedang diaudit untuk tujuan kepatuhan Anda, pastikan bahwa kolom sensitif Anda, bahwa Anda tahu apa itu, di mana mereka, yang mana Anda harus mengenkripsi dan menonton akses. Dan memastikan bahwa konfigurasi sesuai dengan pedoman peraturan yang Anda ikuti. Dan Anda harus terus memperbarui semua ini karena banyak hal berubah.
Jadi, ini banyak yang harus dilakukan, dan jika saya meninggalkannya di sana, saya akan mengatakan, lakukan itu. Tetapi ada banyak alat yang berbeda untuk itu, jadi, jika saya dapat dalam beberapa menit terakhir, saya ingin menunjukkan kepada Anda beberapa alat yang kami miliki di IDERA untuk itu. Dan dua yang ingin saya bicarakan hari ini adalah SQL Secure dan SQL Compliance Manager. SQL Secure adalah alat kami untuk membantu mengidentifikasi jenis kerentanan konfigurasi. Kebijakan keamanan Anda, izin pengguna Anda, konfigurasi area permukaan Anda. Dan itu memiliki template untuk membantu Anda mematuhi kerangka kerja peraturan yang berbeda. Dengan sendirinya, baris terakhir itu, mungkin menjadi alasan bagi orang untuk mempertimbangkannya. Karena membaca peraturan yang berbeda ini dan mengidentifikasi apa artinya, PCI dan kemudian membawanya ke SQL Server di toko saya, itu banyak pekerjaan. Itu adalah sesuatu yang bisa Anda bayar banyak untuk konsultasi; kami telah pergi dan melakukan konsultasi itu, kami telah bekerja dengan perusahaan audit yang berbeda, dll., untuk menghasilkan apa template itu - sesuatu yang mungkin lulus audit jika ini ada. Dan kemudian Anda bisa menggunakan template itu dan melihatnya di lingkungan Anda.
Kami juga memiliki sejenis alat sejenis dalam bentuk SQL Compliance Manager, dan di sinilah SQL Secure membahas tentang pengaturan konfigurasi. SQL Compliance Manager adalah tentang melihat apa yang dilakukan oleh siapa, kapan. Jadi, ini adalah audit, sehingga memungkinkan Anda untuk memantau aktivitas saat itu terjadi dan memungkinkan Anda mendeteksi dan melacak siapa yang mengakses sesuatu. Apakah seseorang, contoh prototipikal dari seorang selebriti yang diperiksa di rumah sakit Anda, apakah seseorang pergi dan mencari informasi mereka, hanya karena penasaran? Apakah mereka punya alasan untuk melakukannya? Anda dapat melihat sejarah audit dan melihat apa yang sedang terjadi, siapa yang mengakses catatan tersebut. Dan Anda dapat mengidentifikasi ini memiliki alat untuk membantu Anda mengidentifikasi kolom sensitif, sehingga Anda tidak harus membaca dan melakukannya sendiri.
Jadi, kalau boleh, saya akan menunjukkan beberapa alat itu di sini dalam beberapa menit terakhir ini - dan tolong jangan menganggapnya sebagai demo mendalam. Saya seorang manajer produk, bukan insinyur penjualan, jadi saya akan menunjukkan kepada Anda beberapa hal yang saya pikir relevan dengan diskusi ini. Jadi, ini adalah produk SQL Secure kami. Dan seperti yang Anda lihat di sini, saya punya semacam rapor tingkat tinggi ini. Saya menjalankan ini, saya pikir, kemarin. Dan itu menunjukkan kepada saya beberapa hal yang tidak diatur dengan benar dan beberapa hal yang diatur dengan benar. Jadi, Anda dapat melihat ada cukup banyak lebih dari 100 pemeriksaan berbeda yang telah kami lakukan di sini. Dan saya dapat melihat bahwa enkripsi cadangan saya pada cadangan yang telah saya lakukan, saya belum menggunakan enkripsi cadangan. Akun SA saya, secara eksplisit bernama "Akun SA" tidak dinonaktifkan atau diganti namanya. Peran server publik memiliki izin, jadi ini semua hal yang mungkin ingin saya lihat saat berubah.
Saya sudah menyiapkan kebijakan di sini, jadi jika saya ingin membuat kebijakan baru, untuk diterapkan ke server saya, kami memiliki semua kebijakan bawaan ini. Jadi, saya akan menggunakan templat kebijakan yang ada dan Anda dapat melihat saya memiliki CIS, HIPAA, PCI, SR dan terus berlanjut, dan kami sebenarnya sedang dalam proses menambahkan kebijakan tambahan secara terus-menerus, berdasarkan pada hal-hal yang dibutuhkan orang di lapangan . Dan Anda juga dapat membuat kebijakan baru, jadi jika Anda tahu apa yang dicari auditor Anda, Anda bisa membuatnya sendiri. Dan kemudian, ketika Anda melakukannya, Anda dapat memilih di antara semua pengaturan yang berbeda ini, yang Anda perlu atur, dalam beberapa kasus, Anda memiliki beberapa- biarkan saya kembali dan menemukan salah satu pengaturan yang sudah dibuat sebelumnya. Ini nyaman, saya dapat memilih, katakanlah, HIPAA - Saya sudah mendapatkan HIPAA, salah saya - PCI, dan kemudian, ketika saya mengklik di sini, saya benar-benar dapat melihat referensi silang eksternal ke bagian peraturan yang terkait dengan ini. Jadi itu akan membantu Anda nanti, ketika Anda mencoba mencari tahu mengapa saya mengatur ini? Mengapa saya mencoba melihat ini? Bagian apa ini terkait?
Ini juga memiliki alat yang bagus yang memungkinkan Anda masuk dan menelusuri pengguna Anda, jadi salah satu hal rumit tentang menjelajahi peran pengguna Anda, adalah bahwa, sebenarnya, saya akan memeriksanya di sini. Jadi, jika saya menunjukkan izin untuk saya, mari kita lihat, mari kita pilih pengguna di sini. Tampilkan izin. Saya dapat melihat izin yang diberikan untuk server ini, tetapi kemudian saya dapat mengklik di sini dan menghitung izin yang efektif, dan itu akan memberi saya daftar lengkap berdasarkan, jadi dalam hal ini adalah admin, jadi tidak begitu menarik, tetapi Saya bisa melihat dan memilih pengguna yang berbeda dan melihat apa izin efektif mereka, berdasarkan semua kelompok yang berbeda di mana mereka berada. Jika Anda pernah mencoba melakukan ini sendiri, sebenarnya bisa sedikit merepotkan, untuk mencari tahu, OK pengguna ini adalah anggota dari grup ini dan karena itu memiliki akses ke hal-hal ini melalui grup, dll.
Jadi, cara produk ini bekerja, adalah mengambil snapshot, jadi ini benar-benar bukan proses yang sangat sulit untuk mengambil snapshot server secara teratur dan kemudian menyimpan snapshot tersebut dari waktu ke waktu sehingga Anda dapat membandingkan untuk perubahan. Jadi, ini bukan pemantauan berkelanjutan dalam arti tradisional seperti alat pemantauan kinerja; ini adalah sesuatu yang mungkin telah Anda atur untuk dijalankan sekali per malam, sekali per minggu - namun sering Anda anggap valid - sehingga, setiap kali Anda melakukan analisis dan Anda melakukan sedikit lebih banyak, Anda sebenarnya hanya bekerja di dalam alat kami. Anda tidak terlalu sering menghubungkan kembali ke server Anda, jadi ini adalah alat kecil yang cukup bagus untuk bekerja, untuk memenuhi pengaturan statis semacam itu.
Alat lain yang ingin saya tunjukkan adalah alat Manajer Kepatuhan kami. Manajer Kepatuhan akan memantau dengan cara yang lebih berkelanjutan. Dan itu akan melihat siapa yang melakukan apa pada server Anda dan memungkinkan Anda untuk melihatnya. Jadi, apa yang saya lakukan di sini, dalam beberapa jam terakhir ini, saya sebenarnya telah mencoba membuat beberapa masalah kecil. Jadi, di sini saya punya masalah atau tidak, saya mungkin tahu, seseorang telah benar-benar membuat login dan menambahkannya ke peran server. Jadi, jika saya masuk dan melihatnya, saya bisa melihat - saya kira saya tidak bisa mengklik kanan di sana, saya bisa melihat apa yang terjadi. Jadi, ini adalah dasbor saya dan saya dapat melihat saya memiliki sejumlah login yang gagal sedikit lebih awal hari ini. Saya memiliki banyak aktivitas keamanan, aktivitas DBL.
Jadi, izinkan saya pergi ke acara audit saya dan melihatnya. Di sini saya punya acara audit saya dikelompokkan berdasarkan kategori dan objek target, jadi jika saya melihat keamanan itu dari sebelumnya, saya dapat melihat DemoNewUser, ini membuat server masuk terjadi. Dan saya dapat melihat bahwa login SA membuat akun DemoNewUser ini, di sini, pada jam 14:42. Dan kemudian, saya dapat melihat bahwa pada gilirannya, tambahkan login ke server, DemoNewUser ini ditambahkan ke grup admin server, mereka ditambahkan ke setup admin grup, mereka ditambahkan ke grup sysadmin. Jadi, itu sesuatu yang ingin saya ketahui telah terjadi. Saya juga sudah mengaturnya sehingga kolom sensitif di tabel saya dilacak, jadi saya bisa melihat siapa yang telah mengaksesnya.
Jadi, di sini saya punya beberapa orang terpilih yang muncul di meja pribadi saya, dari Adventure Works. Dan saya dapat melihat dan melihat bahwa pengguna SA pada tabel Adventure Works melakukan sepuluh bintang pilihan dari orang dot person. Jadi mungkin di organisasi saya, saya tidak ingin orang-orang memilih bintang dari orang dot orang, atau saya hanya mengharapkan pengguna tertentu untuk melakukannya, dan saya akan melihat ini di sini. Jadi, - apa yang Anda butuhkan dalam hal audit Anda, kami dapat mengaturnya berdasarkan kerangka kerja dan ini sedikit lebih merupakan alat intensif. Itu menggunakan SQL Trace, atau peristiwa SQLX, tergantung pada versinya. Dan itu adalah sesuatu yang Anda harus memiliki beberapa ruang kepala di server Anda untuk mengakomodasi, tetapi itu salah satunya, semacam asuransi, yang bagus jika kita tidak harus memiliki asuransi mobil - itu akan menjadi biaya yang tidak harus kami ambil - tetapi jika Anda memiliki server di mana Anda perlu melacak siapa yang melakukan apa, Anda mungkin harus memiliki sedikit ruang kepala tambahan dan alat seperti ini untuk melakukan ini. Apakah Anda menggunakan alat kami atau menggulirkannya sendiri, pada akhirnya Anda akan bertanggung jawab untuk memiliki informasi ini untuk tujuan kepatuhan peraturan.
Jadi seperti yang saya katakan, bukan demo mendalam, hanya ringkasan singkat yang singkat. Saya juga ingin menunjukkan kepada Anda alat cepat dan sedikit gratis dalam bentuk Pencarian Kolom SQL ini, yang merupakan sesuatu yang dapat Anda gunakan untuk mengidentifikasi kolom apa di lingkungan Anda yang tampaknya merupakan informasi sensitif. Jadi, kami memiliki sejumlah konfigurasi pencarian di mana ia mencari berbagai nama kolom yang biasanya berisi data sensitif, dan kemudian saya memiliki seluruh daftar ini yang telah diidentifikasi. Saya memiliki 120 dari mereka, dan kemudian saya mengekspornya di sini, sehingga saya dapat menggunakan mereka untuk mengatakan, mari kita lihat dan pastikan bahwa saya melacak akses ke nama tengah, satu orang titik orang atau pajak penjualan rate, dll.
Saya tahu kita benar pada akhir waktu kita di sini. Dan hanya itu yang harus saya tunjukkan kepada Anda, jadi ada pertanyaan untuk saya?
Eric Kavanagh: Saya punya beberapa yang bagus untuk Anda. Biarkan saya gulirkan ini di sini. Salah satu peserta mengajukan pertanyaan yang sangat bagus. Salah satunya bertanya tentang pajak kinerja, jadi saya tahu ini bervariasi dari solusi ke solusi, tetapi apakah Anda memiliki gagasan umum tentang apa pajak kinerja untuk menggunakan alat keamanan IDERA?
Vicky Harp: Jadi, pada SQL Secure, seperti yang saya katakan, sangat rendah, hanya akan mengambil beberapa snapshot sesekali. Dan bahkan jika Anda telah menjalankan cukup sering, itu mendapatkan informasi statis tentang pengaturan, dan itu sangat rendah, hampir dapat diabaikan. Dalam hal Manajer Kepatuhan, itu adalah-
Eric Kavanagh: Suka satu persen?
Vicky Harp: Jika saya harus memberikan angka persen, ya, itu akan menjadi satu persen atau lebih rendah. Ini informasi dasar tentang urutan penggunaan SSMS dan masuk ke tab keamanan dan memperluas hal-hal. Di sisi Kepatuhan, jauh lebih tinggi - itu sebabnya saya mengatakan perlu sedikit ruang kepala - agak jauh melebihi apa yang Anda miliki dalam hal pemantauan kinerja. Sekarang, saya tidak ingin menakut-nakuti orang lain darinya, trik dengan pemantauan Kepatuhan, dan jika diaudit adalah untuk memastikan Anda hanya mengaudit apa yang akan Anda tindak lanjuti. Jadi, begitu Anda menyaring untuk mengatakan, "Hei, saya ingin tahu kapan orang mengakses tabel khusus ini, dan saya ingin tahu kapan orang mengakses, ambil tindakan khusus ini, " maka itu akan didasarkan pada seberapa sering hal-hal ini terjadi dan berapa banyak data yang Anda hasilkan. Jika Anda berkata, "Saya ingin teks SQL lengkap dari setiap pilih yang pernah terjadi pada salah satu tabel ini, " itu mungkin saja gigabyte dan gigabytes data yang harus diuraikan oleh SQL Server yang disimpan, dipindahkan ke produk kami, dll.
Jika Anda menyimpannya di- itu juga akan menjadi lebih banyak informasi daripada yang mungkin bisa Anda tangani. Jika Anda bisa membawanya ke set yang lebih kecil, sehingga Anda mendapatkan beberapa ratus peristiwa per hari, maka itu jelas jauh lebih rendah. Jadi, sungguh, dalam beberapa hal, langit adalah batasnya. Jika Anda mengaktifkan semua pengaturan pada semua pemantauan untuk semuanya, maka ya, itu akan menjadi hit kinerja 50 persen. Tetapi jika Anda akan mengubahnya menjadi lebih moderat, dianggap level, saya mungkin akan melihat 10 persen? Ini benar-benar, itu salah satu hal yang akan sangat tergantung pada beban kerja Anda.
Eric Kavanagh: Ya, benar. Ada pertanyaan lain tentang perangkat keras. Dan kemudian, ada vendor perangkat keras yang memasuki permainan dan benar-benar berkolaborasi dengan vendor perangkat lunak dan saya menjawab melalui jendela T&J. Saya tahu satu kasus tertentu, tentang Cloudera yang bekerja dengan Intel di mana Intel melakukan investasi besar di dalamnya, dan bagian dari kalkulus adalah bahwa Cloudera akan mendapatkan akses awal ke desain chip, dan dengan demikian dapat memanggang keamanan ke tingkat chip dari arsitektur, yang cukup mengesankan. Tapi tetap saja, itu sesuatu yang akan keluar di sana, dan masih bisa dieksploitasi oleh kedua belah pihak. Apakah Anda tahu ada tren atau kecenderungan vendor perangkat keras untuk berkolaborasi dengan vendor perangkat lunak pada protokol keamanan?
Vicky Harp: Ya, sebenarnya, saya percaya bahwa Microsoft telah berkolaborasi untuk memiliki beberapa, seperti, ruang memori untuk beberapa pekerjaan enkripsi yang sebenarnya terjadi pada chip terpisah pada motherboard yang terpisah dari memori utama Anda, sehingga beberapa hal-hal itu secara fisik terpisah. Dan saya percaya bahwa sebenarnya itu adalah sesuatu yang datang dari Microsoft dalam hal pergi ke vendor untuk mengatakan, "Bisakah kita menemukan cara untuk membuat ini, pada dasarnya itu adalah memori yang tidak dapat diperbaiki, saya tidak bisa melalui buffer overflow untuk mencapai memori ini, karena itu bahkan tidak ada di sana, dalam beberapa hal, jadi saya tahu bahwa beberapa dari itu sedang terjadi. "
Eric Kavanagh: Ya.
Vicky Harp: Kemungkinan besar itu adalah vendor yang sangat besar.
Eric Kavanagh: Ya. Saya ingin tahu untuk menonton itu, dan mungkin Robin, jika Anda memiliki detik cepat, saya ingin tahu pengalaman Anda selama bertahun-tahun, karena sekali lagi, dalam hal perangkat keras, dalam hal ilmu material aktual yang berlangsung ke dalam apa yang Anda kumpulkan dari sisi vendor, informasi itu dapat pergi ke kedua sisi, dan secara teoritis kita pergi ke kedua sisi dengan cukup cepat, jadi apakah ada cara untuk menggunakan perangkat keras lebih hati-hati, dari perspektif desain untuk meningkatkan keamanan? Bagaimana menurut anda? Robin, kamu bisu?
Robin Bloor: Ya, ya. Maaf, saya di sini; Saya hanya merenungkan pertanyaan itu. Sejujurnya, saya tidak punya pendapat, ini adalah bidang yang belum saya lihat secara mendalam, jadi saya agak, Anda tahu, saya bisa menciptakan pendapat, tapi saya tidak benar-benar tahu. Saya lebih suka hal-hal yang aman dalam perangkat lunak, itu hanya cara saya bermain, pada dasarnya.
Eric Kavanagh: Ya. Nah, teman-teman, kami telah membakar selama satu jam dan berubah di sini. Terima kasih banyak untuk Vicky Harp atas waktu dan perhatiannya - untuk semua waktu dan perhatian Anda; kami menghargai Anda muncul untuk hal-hal ini. Ini masalah besar; itu tidak akan pergi dalam waktu dekat. Ini adalah permainan kucing dan tikus yang akan terus berjalan dan pergi dan pergi. Dan jadi kami bersyukur bahwa beberapa perusahaan ada di luar sana, fokus pada memungkinkan keamanan, tetapi ketika Vicky bahkan menyinggung dan berbicara sedikit tentang presentasinya, pada akhirnya, orang-orang di organisasi yang perlu berpikir sangat hati-hati tentang serangan phishing ini, rekayasa sosial semacam itu, dan pegang laptop Anda - jangan tinggalkan itu di kedai kopi! Ubah kata sandi Anda, lakukan dasar-dasarnya, dan Anda akan mendapatkan 80 persen dari perjalanan ke sana.
Jadi, dengan itu, teman-teman, kami akan mengucapkan selamat tinggal, terima kasih sekali lagi atas waktu dan perhatian Anda. Kami akan menyusul Anda lain kali, hati-hati. Sampai jumpa.
Vicky Harp: Sampai jumpa, terima kasih.
