Oleh Staf Techopedia, 27 Oktober 2016
Takeaway: Host Eric Kavanagh membahas keamanan basis data dengan Robin Bloor, Dez Blanchfield dan Ignacio Rodriguez dari IDERA.
Anda saat ini belum masuk. Silakan masuk atau daftar untuk melihat video.
Eric Kavanagh: Halo dan selamat datang kembali, sekali lagi, ke Hot Technologies. Nama saya Eric Kavanagh; Saya akan menjadi tuan rumah Anda untuk webcast hari ini dan ini adalah topik hangat dan tidak akan pernah menjadi topik hangat. Ini adalah topik hangat sekarang karena, terus terang, semua pelanggaran yang kami dengar dan saya dapat menjamin Anda bahwa itu tidak akan pernah hilang. Jadi topik hari ini, judul yang tepat dari pertunjukan yang harus saya katakan, adalah “Normal Baru: Berurusan dengan Realitas Dunia yang Tidak Aman.” Itulah yang sedang kita hadapi.
Kami punya host Anda, benar-benar milik Anda, di sana. Dari beberapa tahun yang lalu, ingat, saya mungkin harus memperbarui foto saya; itu 2010. Waktu berlalu. Kirimi saya email dengan jika Anda ingin memberikan saran. Jadi ini adalah slide “hot” standar kami untuk Hot Technologies. Seluruh tujuan dari pertunjukan ini adalah untuk mendefinisikan ruang tertentu. Jadi hari ini kita berbicara tentang keamanan. Kami mengambil sudut pandang yang sangat menarik, pada kenyataannya, dengan teman-teman kami dari IDERA.
Dan saya akan menunjukkan bahwa Anda, sebagai anggota audiens kami, memainkan peran penting dalam program ini. Tolong jangan malu-malu. Kirim pertanyaan kepada kami kapan saja dan kami akan mengantri untuk tanya jawab jika kami punya cukup waktu untuk itu. Kami memiliki tiga orang yang online hari ini, Dr. Robin Bloor, Dez Blanchfield dan Ignacio Rodriguez, yang menelepon dari lokasi yang dirahasiakan. Jadi pertama-tama, Robin, Anda adalah presenter pertama. Saya akan memberi Anda kunci. Bawa pergi.
Robin Bloor: Oke, terima kasih untuk itu, Eric. Mengamankan basis data - Saya kira kita dapat mengatakan bahwa kemungkinan bahwa data paling berharga yang dipegang oleh perusahaan mana pun adalah dalam basis data. Jadi ada serangkaian hal keamanan yang bisa kita bicarakan. Tapi yang saya pikir saya akan lakukan adalah berbicara tentang masalah pengamanan basis data. Saya tidak ingin mengambil apa pun dari presentasi yang akan diberikan Ignacio.
Jadi mari kita mulai dengan, mudah untuk memikirkan keamanan data sebagai target statis, tetapi tidak. Itu target yang bergerak. Dan ini agak penting untuk dipahami dalam arti bahwa lingkungan TI kebanyakan orang, terutama lingkungan TI perusahaan besar, berubah sepanjang waktu. Dan karena mereka berubah setiap saat, permukaan serangan, area di mana seseorang dapat berusaha, dengan satu atau lain cara, baik dari dalam maupun dari luar, untuk membahayakan keamanan data, berubah sepanjang waktu. Dan ketika Anda melakukan sesuatu seperti, Anda meningkatkan basis data, Anda tidak tahu apakah Anda baru saja, dengan melakukan itu, menciptakan semacam kerentanan untuk diri Anda sendiri. Tetapi Anda tidak menyadarinya dan mungkin tidak akan pernah tahu sampai sesuatu yang buruk terjadi.
Ada gambaran singkat tentang keamanan data. Pertama-tama, pencurian data bukanlah hal baru dan data yang berharga ditargetkan. Biasanya mudah untuk mengetahui bagi organisasi apa data yang paling mereka butuhkan adalah perlindungan. Fakta yang aneh adalah bahwa yang pertama, atau apa yang bisa kita klaim sebagai komputer pertama, dibangun oleh intelijen Inggris selama Perang Dunia Kedua dengan satu tujuan, dan itu adalah untuk mencuri data dari komunikasi Jerman.
Jadi pencurian data telah menjadi bagian dari industri TI sejak awal. Menjadi jauh lebih serius dengan kelahiran internet. Saya melihat log dari jumlah pelanggaran data yang terjadi dari tahun ke tahun. Dan jumlahnya telah meroket di atas 100 pada tahun 2005 dan sejak saat itu cenderung semakin buruk setiap tahun.
Sejumlah besar data dicuri dan sejumlah besar peretasan terjadi. Dan itu adalah retas yang dilaporkan. Ada sejumlah besar insiden yang terjadi di mana perusahaan tidak pernah mengatakan apa-apa karena tidak ada yang memaksanya untuk mengatakan apa pun. Jadi itu membuat pelanggaran data tetap tenang. Ada banyak pemain dalam bisnis peretasan: pemerintah, bisnis, kelompok peretas, individu.
Satu hal yang saya pikir menarik untuk disebutkan, ketika saya pergi ke Moskow, saya kira sekitar empat tahun yang lalu, itu adalah konferensi perangkat lunak di Moskow, saya sedang berbicara dengan seorang jurnalis yang berspesialisasi dalam bidang peretasan data. Dan dia mengklaim - dan saya yakin dia benar, tetapi saya tidak mengetahuinya selain dia satu-satunya orang yang pernah menyebutkannya kepada saya, tetapi - ada bisnis Rusia yang disebut The Russian Business Network, mungkin punya Rusia nama tapi saya pikir itu terjemahan bahasa Inggrisnya, itu sebenarnya disewa untuk meretas.
Jadi, jika Anda sebuah organisasi besar di mana saja di dunia dan Anda ingin melakukan sesuatu untuk merusak pesaing Anda, Anda dapat merekrut orang-orang ini. Dan jika Anda merekrut orang-orang ini, Anda dapat menyangkal siapa yang berada di balik peretasan. Karena jika ditemukan siapa yang berada di balik peretasan, itu akan menunjukkan bahwa mungkin seseorang di Rusia yang melakukannya. Dan itu tidak akan terlihat seperti Anda mencoba merusak pesaing. Dan saya percaya bahwa Jaringan Bisnis Rusia sebenarnya telah disewa oleh pemerintah untuk melakukan hal-hal seperti meretas bank untuk mencoba dan mencari tahu bagaimana uang teroris bergerak. Dan itu dilakukan dengan penyangkalan yang masuk akal oleh pemerintah yang tidak akan pernah mengakui bahwa mereka benar-benar pernah melakukan itu.
Teknologi serangan dan pertahanan berkembang. Dahulu kala saya biasa pergi ke Chaos Club. Itu adalah situs di Jerman tempat Anda bisa mendaftar dan Anda bisa mengikuti percakapan dari berbagai orang dan melihat apa yang tersedia. Dan saya melakukan itu ketika saya melihat teknologi keamanan, saya pikir sekitar tahun 2005. Dan saya melakukannya hanya untuk melihat apa yang terjadi saat itu dan yang membuat saya kagum adalah jumlah virus, yang pada dasarnya merupakan sistem open-source Saya sedang melakukan dan orang-orang yang telah menulis virus atau virus yang disempurnakan hanya menempelkan kode di sana untuk digunakan siapa saja. Dan memang terpikir oleh saya pada saat itu bahwa peretas bisa sangat, sangat pintar, tetapi ada banyak sekali peretas yang belum tentu pintar sama sekali, tetapi mereka menggunakan alat pintar. Dan beberapa alat itu sangat cerdas.
Dan poin terakhir di sini: bisnis memiliki kewajiban menjaga data mereka, apakah mereka memilikinya atau tidak. Dan saya pikir itu menjadi lebih dan lebih disadari daripada sebelumnya. Dan semakin menjadi, katakanlah, mahal untuk sebuah bisnis untuk benar-benar menjalani peretasan. Tentang peretas, mereka dapat ditemukan di mana saja, mungkin sulit dibawa ke pengadilan bahkan jika mereka diidentifikasi dengan benar. Banyak dari mereka sangat trampil. Sumber daya yang cukup besar, mereka punya botnet di semua tempat. Serangan DDoS baru-baru ini yang terjadi diyakini berasal dari lebih dari satu miliar perangkat. Saya tidak tahu apakah itu benar atau apakah itu hanya seorang reporter yang menggunakan angka bulat, tetapi tentu saja sejumlah besar perangkat robot digunakan untuk melakukan serangan pada jaringan DNS. Beberapa bisnis yang menguntungkan, ada kelompok-kelompok pemerintah, ada perang ekonomi, ada perang cyber, semuanya terjadi di sana, dan itu tidak mungkin, saya pikir kami katakan di awal pameran, tidak mungkin berakhir.
Kepatuhan dan peraturan - ada beberapa hal yang benar-benar terjadi. Ada banyak inisiatif kepatuhan yang berbasis sektor, Anda tahu - sektor farmasi atau sektor perbankan atau sektor kesehatan - mungkin memiliki inisiatif spesifik yang dapat diikuti orang, berbagai macam praktik terbaik. Tetapi ada juga banyak peraturan resmi yang, karena mereka adalah hukum, mereka memiliki hukuman yang dilampirkan untuk siapa saja yang melanggar hukum. Contoh AS adalah HIPAA, SOX, FISMA, FERPA, GLBA. Ada beberapa standar, PCI-DSS adalah standar untuk perusahaan kartu. ISO / IEC 17799 didasarkan pada upaya untuk mendapatkan standar bersama. Ini adalah kepemilikan data. Peraturan nasional berbeda dari satu negara ke negara lain, bahkan di Eropa, atau orang mungkin mengatakannya, terutama di Eropa yang sangat membingungkan. Dan ada GDPR, peraturan perlindungan data global yang saat ini sedang dinegosiasikan antara Eropa dan Amerika Serikat untuk mencoba dan menyelaraskan dalam peraturan karena ada begitu banyak, umumnya seperti mereka, pada dasarnya, internasional, dan kemudian ada layanan cloud yang Anda mungkin tidak berpikir data Anda bersifat internasional, tetapi data itu menjadi internasional segera setelah Anda masuk ke cloud, karena ia pindah dari negara Anda. Jadi itu adalah seperangkat peraturan yang sedang dinegosiasikan, dengan satu atau lain cara, untuk menangani perlindungan data. Dan sebagian besar berhubungan dengan data seseorang, yang tentu saja, mencakup hampir semua data identitas.
Hal-hal yang perlu dipikirkan: kerentanan basis data. Ada daftar kerentanan yang diketahui dan dilaporkan oleh vendor database ketika mereka ditemukan dan ditambal secepat mungkin, jadi ada semua itu. Ada hal-hal yang berkaitan dengannya dalam hal mengidentifikasi data yang rentan. Salah satu peretasan besar dan paling sukses pada data pembayaran dilakukan untuk perusahaan pemrosesan pembayaran. Yang kemudian diambil alih karena harus likuidasi jika tidak, tetapi data tidak dicuri dari salah satu basis data operasional. Data dicuri dari database uji. Kebetulan bahwa pengembang baru saja mengambil bagian dari data yang merupakan data nyata dan menggunakannya, tanpa perlindungan apa pun, dalam database pengujian. Basis data pengujian diretas dan banyak sekali detail keuangan pribadi orang diambil darinya.
Kebijakan keamanan, khususnya yang berkaitan dengan akses keamanan sehubungan dengan basis data, siapa yang dapat membaca, siapa yang dapat menulis, siapa yang dapat memberikan izin, apakah ada cara agar siapa pun dapat menghindari semua ini? Lalu, tentu saja, enkripsi dari basis data memungkinkan hal itu. Ada biaya pelanggaran keamanan. Saya tidak tahu apakah ini merupakan praktik standar dalam organisasi, tetapi saya tahu bahwa beberapa, seperti, kepala petugas keamanan memang berusaha memberi para eksekutif beberapa gagasan tentang berapa biaya pelanggaran keamanan sebenarnya sebelum terjadi daripada setelahnya. Dan mereka, semacam, perlu melakukan itu untuk memastikan bahwa mereka mendapatkan jumlah anggaran yang tepat untuk dapat mempertahankan organisasi.
Dan kemudian permukaan serangan. Permukaan serangan tampaknya tumbuh sepanjang waktu. Ini tahun ke tahun permukaan serangan sepertinya tumbuh. Jadi dalam ringkasan, rentang adalah poin lain, tetapi keamanan data biasanya merupakan bagian dari peran DBA. Tetapi keamanan data juga merupakan aktivitas kolaboratif. Anda harus memiliki, jika Anda melakukan keamanan, Anda harus memiliki gagasan lengkap tentang perlindungan keamanan untuk organisasi secara keseluruhan. Dan perlu ada kebijakan perusahaan dalam hal ini. Jika tidak ada kebijakan perusahaan Anda berakhir dengan solusi sedikit demi sedikit. Anda tahu, karet gelang dan plastik, semacam, upaya untuk menghentikan keamanan terjadi.
Jadi setelah mengatakan itu, saya pikir saya serahkan kepada Dez yang mungkin akan memberi Anda berbagai kisah perang.
Eric Kavanagh: Bawa pergi, Dez
Dez Blanchfield: Terima kasih, Robin. Itu selalu merupakan tindakan yang sulit untuk diikuti. Saya akan membahas ini dari ujung spektrum yang berlawanan hanya untuk, saya kira, memberi kami gambaran skala tantangan yang Anda hadapi dan mengapa kita harus melakukan lebih dari sekadar duduk dan memperhatikan ini . Tantangan yang kita lihat sekarang dengan skala dan kuantitas dan volume, kecepatan di mana hal-hal ini terjadi, adalah hal yang saya dengar di sekitar tempat sekarang dengan banyak CXO, bukan hanya CIO, tapi tentu saja CIO adalah orang-orang yang hadir di mana uang berhenti, adalah bahwa mereka menganggap pelanggaran data dengan cepat menjadi norma. Itu adalah sesuatu yang hampir mereka harapkan terjadi. Jadi mereka melihat ini dari sudut pandang, "Oke, yah, ketika kita dilanggar - bukan jika - ketika kita dilanggar, apa yang harus kita lakukan tentang ini?" Dan kemudian percakapan dimulai, apa yang mereka lakukan di lingkungan edge tradisional dan router, switch, server, deteksi intrusi, inspeksi intrusi? Apa yang mereka lakukan dalam sistem itu sendiri? Apa yang mereka lakukan dengan data? Dan kemudian semuanya kembali ke apa yang mereka lakukan dengan database mereka.
Biarkan saya menyentuh beberapa contoh dari beberapa hal yang telah menangkap banyak imajinasi orang dan kemudian menelusuri, semacam, hancurkan mereka sedikit. Jadi kami telah mendengar dalam berita bahwa Yahoo - mungkin jumlah terbesar yang orang dengar adalah sekitar setengah juta, tetapi ternyata secara tidak resmi lebih seperti satu miliar - Saya mendengar jumlah aneh tiga miliar, tapi itu hampir setengah dari populasi dunia jadi saya pikir itu agak tinggi. Tapi saya sudah memverifikasi dari sejumlah orang di ruang yang relevan yang percaya ada lebih dari satu miliar catatan yang telah dilanggar dari Yahoo. Dan ini hanya angka yang membingungkan. Sekarang beberapa pemain melihat dan berpikir, yah, itu hanya akun webmail, bukan masalah besar, tapi kemudian, Anda menambahkan fakta bahwa banyak akun webmail itu, dan jumlah yang sangat tinggi, lebih tinggi daripada yang saya perkirakan, sebenarnya adalah akun yang dibayar. Di situlah orang memasukkan rincian kartu kredit mereka dan mereka membayar untuk menghapus iklan, karena mereka bosan dengan iklan dan jadi $ 4 atau $ 5 sebulan mereka bersedia membeli layanan webmail dan penyimpanan cloud yang tidak memiliki iklan, dan saya salah satunya, dan saya sudah menemukan itu di tiga penyedia berbeda tempat saya pasang kartu kredit saya.
Maka tantangan itu mendapat sedikit perhatian lebih karena bukan hanya sesuatu yang ada di luar sana sebagai satu baris mengatakan, "Oh well, Yahoo telah kehilangan, katakanlah, antara 500 juta dan 1.000 juta akun, " 1.000 juta membuatnya terdengar sangat besar, dan akun webmail, tetapi rincian kartu kredit, nama depan, nama belakang, alamat email, tanggal lahir, kartu kredit, nomor pin, apa pun yang Anda inginkan, kata sandi, dan kemudian itu menjadi konsep yang jauh lebih menakutkan. Dan lagi orang-orang berkata kepada saya, "Ya, tapi ini hanya layanan web, itu hanya webmail, bukan masalah besar." Dan kemudian saya berkata, "Ya, well, akun Yahoo mungkin juga telah digunakan dalam layanan uang Yahoo untuk membeli dan menjual saham. "Maka itu menjadi lebih menarik. Dan ketika Anda mulai menggali ke dalamnya, Anda menyadari bahwa, oke, ini sebenarnya lebih dari sekadar ibu dan ayah di rumah, dan remaja, dengan akun olahpesan, ini sebenarnya adalah sesuatu di mana orang telah melakukan transaksi bisnis.
Jadi itulah salah satu ujung spektrum. Ujung lain dari spektrum adalah bahwa penyedia layanan kesehatan yang sangat kecil dan praktik umum di Australia memiliki sekitar 1.000 catatan yang dicuri. Adalah pekerjaan internal, seseorang pergi, mereka hanya ingin tahu, mereka berjalan keluar dari pintu, dalam hal ini floppy disk 3, 5 inci. Beberapa saat yang lalu - tetapi Anda bisa tahu era media - tetapi mereka menggunakan teknologi lama. Tapi ternyata alasan mereka mengambil data adalah mereka hanya ingin tahu siapa yang ada di sana. Karena mereka memiliki cukup banyak orang di kota kecil ini, yang merupakan ibu kota negara kita, yang adalah politisi. Dan mereka tertarik pada siapa yang ada di sana dan di mana kehidupan mereka dan semua informasi semacam itu. Jadi dengan pelanggaran data yang sangat kecil yang dilakukan secara internal, sejumlah besar politisi dalam rincian pemerintah Australia konon keluar di publik.
Kami punya dua ujung spektrum yang berbeda untuk dipertimbangkan. Sekarang kenyataannya adalah skala semata-mata hal-hal ini hanya cukup mengejutkan dan saya punya slide yang akan kita lompat ke sangat, sangat cepat di sini. Ada beberapa situs web yang mencantumkan semua jenis data, tetapi yang khusus ini dari spesialis keamanan yang memiliki situs web tempat Anda dapat pergi dan mencari alamat email Anda, atau nama Anda, dan itu akan menunjukkan kepada Anda setiap kejadian data melanggar selama 15 tahun terakhir bahwa dia bisa mendapatkan tangannya, dan kemudian memuat ke dalam basis data dan memverifikasi, dan itu akan memberi tahu Anda apakah Anda telah dipermainkan, seperti istilahnya. Tetapi ketika Anda mulai melihat beberapa angka-angka ini dan tangkapan layar ini belum diperbarui dengan versi terbarunya, yang mencakup pasangan, seperti Yahoo. Tetapi coba pikirkan jenis-jenis layanan di sini. Kami punya Myspace, kami punya LinkedIn, Adobe. Adobe menarik karena orang-orang melihat dan berpikir, well, apa maksud Adobe? Sebagian besar dari kita yang mengunduh Adobe Reader dalam beberapa bentuk, banyak dari kita telah membeli produk Adobe dengan kartu kredit, yaitu 152 juta orang.
Sekarang, untuk poin Robin sebelumnya, ini adalah angka yang sangat besar, mudah dikuasai oleh mereka. Apa yang terjadi ketika Anda memiliki 359 juta akun yang telah dilanggar? Ada beberapa hal. Robin menyoroti fakta bahwa data selalu dalam database dari beberapa bentuk. Itulah pesan penting di sini. Hampir tidak ada orang di planet ini, yang saya tahu, yang menjalankan sistem dalam bentuk apa pun, tidak menyimpannya dalam database. Namun yang menarik adalah ada tiga jenis data berbeda dalam basis data itu. Ada hal-hal yang berhubungan dengan keamanan seperti nama pengguna dan kata sandi, yang biasanya dienkripsi, tetapi selalu ada banyak contoh di mana mereka tidak. Ada informasi pelanggan aktual di sekitar profil dan data yang telah mereka buat apakah itu catatan kesehatan atau apakah itu email atau pesan instan. Dan kemudian ada logika tertanam yang sebenarnya, jadi ini bisa menjadi prosedur tersimpan, bisa jadi sejumlah besar aturan, jika + ini + lalu + itu. Dan selalu itu hanya teks ASCII yang terjebak dalam basis data, sangat sedikit orang yang duduk di sana berpikir, “Ya, ini adalah aturan bisnis, ini adalah bagaimana data kami bergerak dan dikendalikan, kita harus berpotensi mengenkripsi ini ketika sedang diam, dan ketika sedang dalam motion mungkin kita mendekripsi dan menyimpannya di memori, ”tapi idealnya mungkin juga begitu.
Tetapi kembali ke titik kunci ini bahwa semua data ini ada dalam database dari beberapa bentuk dan lebih sering fokusnya adalah, hanya secara historis, telah berada di router dan switch dan server dan bahkan penyimpanan, dan tidak selalu pada database di bagian belakang. Karena kami berpikir bahwa kami memiliki tepi jaringan tertutup dan itu, semacam, tua yang khas, semacam, tinggal di kastil dan Anda menempatkan parit di sekitarnya dan Anda berharap orang jahat tidak akan bisa berenang. Tapi kemudian tiba-tiba orang-orang jahat mencari cara untuk membuat tangga yang panjang dan melemparkannya ke parit dan memanjat parit dan memanjat dinding. Dan tiba-tiba parit Anda tidak berguna.
Jadi kita sekarang berada dalam skenario di mana organisasi berada dalam mode catch-up dalam sprint. Mereka benar-benar berlari di semua sistem, dalam pandangan saya, dan tentu saja pengalaman saya, dalam hal itu, tidak selalu hanya unicorn web ini, seperti yang sering kita lihat, lebih sering daripada tidak itu organisasi perusahaan tradisional yang dilanggar. Dan Anda tidak perlu memiliki banyak imajinasi untuk mengetahui siapa mereka. Ada situs web seperti yang disebut pastebin.net dan jika Anda pergi ke pastebin.net dan Anda cukup mengetikkan daftar email atau daftar kata sandi Anda akan berakhir dengan ratusan ribu entri sehari yang sedang ditambahkan di mana orang mendaftar contoh kumpulan data contoh dari ngomong-ngomong, hingga ribuan catatan nama depan, nama belakang, detail kartu kredit, nama pengguna, kata sandi, kata sandi yang didekripsi. Di mana orang dapat mengambil daftar itu, pergi dan verifikasi tiga atau empat dari mereka dan memutuskan bahwa, ya, saya ingin membeli daftar itu dan biasanya ada beberapa bentuk mekanisme yang menyediakan semacam gerbang anonim kepada orang yang menjual data.
Sekarang yang menarik adalah bahwa begitu pengusaha afiliasi menyadari bahwa mereka dapat melakukan ini, tidak perlu banyak imajinasi untuk menyadari bahwa jika Anda menghabiskan US $ 1.000 untuk membeli salah satu dari daftar ini, apa hal pertama yang Anda lakukan dengan itu? Anda tidak pergi dan mencoba melacak akun, Anda meletakkan salinannya kembali di pastbin.net dan Anda menjual dua salinan masing-masing $ 1.000 dan menghasilkan untung $ 1.000. Dan ini adalah anak-anak yang melakukan ini. Ada beberapa organisasi profesional yang sangat besar di seluruh dunia yang melakukan ini sebagai mata pencaharian. Bahkan ada negara-bangsa yang menyerang negara lain. Anda tahu, ada banyak pembicaraan tentang Amerika menyerang Cina, Cina menyerang Amerika, itu tidak sesederhana itu, tetapi pasti ada organisasi pemerintah yang melanggar sistem yang selalu didukung oleh basis data. Ini bukan hanya kasus organisasi kecil, tetapi juga negara versus negara. Ini membawa kita kembali ke masalah, di mana data disimpan? Ada dalam database. Kontrol dan mekanisme apa yang ada di sana? Atau selalu tidak terenkripsi, dan jika terenkripsi, tidak selalu semua data, mungkin hanya kata sandi yang diasinkan dan dienkripsi.
Dan untuk mengatasi hal ini kami memiliki sejumlah tantangan dengan apa yang ada di data itu dan bagaimana kami menyediakan akses ke data dan kepatuhan SOX. Jadi jika Anda berpikir tentang manajemen kekayaan atau perbankan, Anda punya organisasi yang khawatir tentang tantangan kredensial; Anda memiliki organisasi yang khawatir tentang kepatuhan dalam ruang perusahaan; Anda memiliki persyaratan kepatuhan dan peraturan pemerintah; Anda punya skenario sekarang di mana kami punya database di tempat; kami memiliki basis data di pusat data pihak ketiga; kami memiliki basis data yang duduk di lingkungan cloud, jadi lingkungan cloudnya tidak selalu di negara. Dan jadi ini menjadi tantangan yang lebih besar dan lebih besar, tidak hanya dari sudut pandang keamanan murni yang tidak boleh diretas, tetapi juga, bagaimana kita memenuhi semua tingkat kepatuhan yang berbeda? Bukan hanya standar HIPAA dan ISO, tetapi ada lusinan dan lusinan standar ini di tingkat negara, tingkat nasional dan tingkat global yang melintasi batas. Jika Anda melakukan bisnis dengan Australia, Anda tidak dapat memindahkan data pemerintah. Setiap data pribadi Australia tidak dapat meninggalkan negara tersebut. Jika Anda di Jerman itu bahkan lebih ketat. Dan saya tahu Amerika bergerak sangat cepat dalam hal ini karena berbagai alasan juga.
Tapi itu membawa saya kembali ke seluruh tantangan bagaimana Anda tahu apa yang terjadi di database Anda, bagaimana Anda memantaunya, bagaimana Anda memberi tahu siapa yang melakukan apa dalam database, siapa yang mendapat pandangan dari berbagai tabel dan baris serta kolom dan bidang, kapan mereka membacanya, seberapa sering mereka membacanya dan siapa yang melacaknya? Dan saya pikir itu membawa saya ke poin terakhir saya sebelum saya serahkan kepada tamu kita hari ini yang akan membantu kita berbicara tentang bagaimana kita menyelesaikan masalah ini. Tetapi saya ingin meninggalkan kita dengan satu pemikiran ini dan itu adalah, banyak fokusnya adalah pada biaya untuk bisnis dan biaya untuk organisasi. Dan kita tidak akan membahas hal ini secara rinci hari ini, tetapi saya hanya ingin meninggalkannya dalam pikiran kita untuk merenungkan dan itu adalah bahwa ada perkiraan sekitar US $ 135 dan US $ 585 per catatan untuk dibersihkan setelah pelanggaran. Jadi investasi yang Anda lakukan dalam keamanan Anda di sekitar router dan switch dan server semuanya baik dan bagus, tetapi berapa banyak yang telah Anda investasikan dalam keamanan basis data Anda?
Tetapi ini adalah ekonomi palsu dan ketika pelanggaran Yahoo terjadi baru-baru ini, dan saya memiliki otoritas yang baik, kira-kira satu miliar akun, bukan 500 juta. Ketika Verizon membeli organisasi untuk sesuatu seperti 4, 3 miliar, segera setelah pelanggaran terjadi mereka meminta kembali satu miliar dolar, atau diskon. Sekarang jika Anda menghitungnya dan mengatakan ada sekitar satu miliar catatan yang dilanggar, diskon miliar dolar, perkiraan $ 135 hingga $ 535 untuk membersihkan catatan sekarang menjadi $ 1. Sekali lagi, ini lucu. Tidak perlu biaya $ 1 untuk membersihkan satu miliar catatan. Pada $ 1 per catatan untuk membersihkan satu miliar catatan untuk pelanggaran ukuran itu. Anda bahkan tidak bisa mengeluarkan siaran pers untuk biaya semacam itu. Jadi kami selalu fokus pada tantangan internal.
Tapi salah satu hal, saya pikir, dan itu penting bagi kita untuk menganggap ini sangat serius di tingkat basis data, itulah sebabnya ini adalah topik yang sangat, sangat penting untuk kita bicarakan, dan karena itu, kita tidak pernah membicarakan manusia. korban. Berapa korban manusia yang kita keluarkan untuk ini? Dan saya akan mengambil satu contoh sebelum saya cepat-cepat menyelesaikannya. LinkedIn: pada 2012, sistem LinkedIn diretas. Ada sejumlah vektor dan saya tidak akan membahasnya. Dan ratusan juta akun dicuri. Orang-orang mengatakan sekitar 160-juta aneh, tetapi sebenarnya jumlah yang jauh lebih besar, bisa jadi sekitar 240 juta. Tapi pelanggaran itu tidak diumumkan sampai awal tahun ini. Itu empat tahun bahwa ratusan juta catatan orang ada di luar sana. Sekarang, ada beberapa orang yang membayar layanan dengan kartu kredit dan beberapa orang dengan akun gratis. Tetapi LinkedIn menarik, karena mereka tidak hanya mendapatkan akses ke detail akun Anda jika Anda dilanggar, tetapi mereka juga mendapat akses ke semua informasi profil Anda. Jadi, dengan siapa Anda terhubung dan semua koneksi yang Anda miliki, dan jenis pekerjaan yang mereka miliki dan jenis keterampilan yang mereka miliki dan berapa lama mereka bekerja di perusahaan dan semua jenis informasi, dan rincian kontak mereka.
Jadi pikirkan tentang tantangan yang kita miliki dalam mengamankan data dalam basis data ini, dan mengamankan dan mengelola sistem basis data itu sendiri, dan aliran dampaknya, jumlah manusia dari data itu di luar sana selama empat tahun. Dan kemungkinan seseorang akan muncul untuk liburan di suatu tempat di Asia Tenggara dan mereka sudah memiliki data mereka di sana selama empat tahun. Dan seseorang mungkin telah membeli mobil atau mendapat pinjaman rumah atau membeli sepuluh telepon selama setahun dengan kartu kredit, di mana mereka membuat ID palsu pada data yang ada di sana selama empat tahun - karena bahkan data LinkedIn memberi Anda cukup informasi untuk buat rekening bank dan ID palsu - dan Anda naik pesawat, Anda pergi berlibur, Anda mendarat dan Anda dijebloskan ke penjara. Dan mengapa Anda dijebloskan ke penjara? Ya, karena ID Anda dicuri. Seseorang membuat ID palsu dan bertindak seperti Anda dan ratusan ribu dolar dan mereka melakukan ini empat tahun dan Anda bahkan tidak mengetahuinya. Karena di luar sana, itu baru saja terjadi.
Jadi saya pikir ini membawa kita ke tantangan inti ini tentang bagaimana kita tahu apa yang terjadi pada basis data kita, bagaimana kita melacaknya, bagaimana kita memantaunya? Dan saya menantikan untuk mendengar bagaimana teman-teman kami di IDERA menemukan solusi untuk mengatasinya. Dan dengan itu, saya akan serahkan.
Eric Kavanagh: Baiklah, Ignacio, lantai milikmu.
Ignacio Rodriguez: Baiklah. Selamat datang semuanya. Nama saya Ignacio Rodriguez, lebih dikenal sebagai Iggy. Saya bersama IDERA dan manajer produk untuk produk keamanan. Topik yang sangat bagus yang baru saja kita bahas, dan kita benar-benar harus khawatir tentang pelanggaran data. Kita perlu mengeraskan kebijakan keamanan, kita perlu mengidentifikasi kerentanan dan menilai tingkat keamanan, mengontrol izin pengguna, mengendalikan keamanan server dan mematuhi audit. Saya telah melakukan audit dalam sejarah masa lalu saya, sebagian besar di sisi Oracle. Saya telah melakukan beberapa di SQL Server dan melakukannya dengan alat atau, pada dasarnya, skrip buatan sendiri, yang hebat tetapi Anda harus membuat repositori dan memastikan repositori aman, terus-menerus harus memelihara skrip dengan perubahan dari auditor, apa yang pernah.
Jadi, dalam alat, jika saya tahu bahwa IDERA ada di luar sana dan memiliki alat, kemungkinan besar saya akan membelinya. Tapi bagaimanapun, kita akan berbicara tentang Aman. Ini adalah salah satu produk kami di lini produk keamanan kami dan yang pada dasarnya dilakukannya adalah kami melihat kebijakan keamanan dan memetakannya ke pedoman peraturan. Anda dapat melihat riwayat lengkap pengaturan SQL Server dan pada dasarnya Anda juga dapat melakukan baseline pengaturan tersebut dan kemudian membandingkannya dengan perubahan di masa mendatang. Anda dapat membuat snapshot, yang merupakan dasar dari pengaturan Anda, dan kemudian dapat melacak jika hal-hal itu telah diubah dan juga akan diperingatkan jika mereka diubah.
Salah satu hal yang kami lakukan dengan baik adalah mencegah risiko keamanan dan pelanggaran. Kartu laporan keamanan memberi Anda pandangan tentang kerentanan keamanan teratas di server dan kemudian juga setiap pemeriksaan keamanan dikategorikan sebagai risiko tinggi, sedang atau rendah. Sekarang, pada kategori ini atau pemeriksaan keamanan, semua ini dapat dimodifikasi. Katakanlah jika Anda memiliki beberapa kontrol dan menggunakan salah satu templat yang kami miliki dan Anda memutuskan, well, kontrol kami benar-benar menunjukkan atau ingin agar kerentanan ini tidak benar-benar tinggi tetapi medium, atau sebaliknya. Anda mungkin memiliki beberapa yang berlabel sedang tetapi di organisasi Anda kontrol yang ingin Anda beri label, atau menganggapnya, sebagai tinggi, semua pengaturan itu dapat dikonfigurasi oleh pengguna.
Masalah kritis lain yang perlu kita perhatikan adalah mengidentifikasi kerentanan. Memahami siapa yang memiliki akses ke apa dan mengidentifikasi setiap hak efektif pengguna di semua objek SQL Server. Dengan alat ini kita akan dapat melihat dan melihat hak-hak di semua objek SQL Server dan kita akan melihat tangkapan layar di sini segera. Kami juga melaporkan dan menganalisis izin pengguna, grup, dan peran. Salah satu fitur lainnya adalah kami memberikan laporan risiko keamanan terperinci. Kami memiliki laporan out-of-the-box dan berisi parameter yang fleksibel bagi Anda untuk membuat jenis laporan dan menampilkan data yang dibutuhkan oleh auditor, petugas keamanan, dan manajer.
Kita juga dapat membandingkan perubahan keamanan, risiko dan konfigurasi dari waktu ke waktu, seperti yang saya sebutkan. Dan itu adalah foto-foto itu. Dan foto-foto itu dapat dikonfigurasi sejauh yang Anda inginkan - bulanan, triwulanan, tahunan - yang dapat dijadwalkan dalam alat. Dan, sekali lagi, Anda dapat melakukan perbandingan untuk melihat apa yang telah berubah dan apa yang baik dari itu adalah jika Anda memang memiliki pelanggaran, Anda dapat membuat snapshot setelah dikoreksi, melakukan perbandingan, dan Anda akan melihat bahwa ada tingkat tinggi risiko yang terkait dengan snapshot sebelumnya dan kemudian dilaporkan, Anda benar-benar melihat dalam snapshot berikutnya setelah diperbaiki bahwa itu tidak lagi menjadi masalah. Ini adalah alat audit yang baik yang dapat Anda berikan kepada auditor, laporan yang dapat Anda berikan kepada auditor dan berkata, “Lihat, kami memiliki risiko ini, kami menguranginya, dan sekarang ini bukan risiko lagi.” Dan, sekali lagi, saya disebutkan dengan snapshot yang dapat Anda beri tahu ketika konfigurasi berubah, dan jika konfigurasi diubah, dan terdeteksi, yang menghadirkan risiko baru, Anda juga akan diberi tahu itu.
Kami mendapatkan beberapa pertanyaan tentang Arsitektur SQL Server kami dengan Secure, dan saya ingin membuat koreksi ke slide di sini yang mengatakan "Layanan Pengumpulan." Kami tidak memiliki layanan, itu seharusnya "Manajemen dan Pengumpulan Server. “Kami memiliki konsol kami dan kemudian Server Manajemen dan Koleksi kami dan kami memiliki tangkapan tanpa agen yang akan keluar ke basis data yang telah terdaftar dan mengumpulkan data melalui pekerjaan. Dan kami memiliki Repositori SQL Server dan kami bekerja bersama dengan Layanan Pelaporan SQL Server untuk menjadwalkan laporan dan membuat laporan kustom juga. Sekarang pada Kartu Laporan Keamanan, ini adalah layar pertama yang akan Anda lihat ketika SQL Secure dimulai. Anda akan dengan mudah melihat item penting mana yang Anda deteksi. Dan, sekali lagi, kita memiliki yang tertinggi, medium dan terendah. Dan kemudian kita juga memiliki kebijakan yang berperan dalam pemeriksaan keamanan tertentu. Kami memiliki templat HIPAA; kami memiliki templat IDERA Security Level 1, 2 dan 3; kami memiliki pedoman PCI. Ini semua template yang dapat Anda gunakan dan, sekali lagi, Anda dapat membuat template Anda sendiri, berdasarkan kontrol Anda sendiri juga. Dan, sekali lagi, mereka dapat dimodifikasi. Anda bisa membuatnya sendiri. Setiap template yang ada dapat digunakan sebagai garis dasar, maka Anda dapat memodifikasi yang Anda inginkan.
Salah satu hal yang menyenangkan untuk dilakukan adalah melihat siapa yang memiliki izin. Dan dengan layar ini di sini kita akan dapat melihat apa login SQL Server pada perusahaan dan Anda akan dapat melihat semua hak dan izin yang ditugaskan dan efektif di database server di tingkat objek. Kami melakukannya di sini. Anda akan dapat memilih, lagi, database atau server, dan kemudian dapat menarik laporan izin SQL Server. Jadi bisa melihat siapa yang memiliki akses apa. Fitur bagus lainnya adalah Anda dapat membandingkan pengaturan keamanan. Katakanlah Anda memiliki pengaturan standar yang perlu ditetapkan di perusahaan Anda. Anda kemudian dapat melakukan perbandingan semua server Anda dan melihat pengaturan apa yang ditetapkan di server lain di perusahaan Anda.
Sekali lagi, templat kebijakan, ini adalah beberapa templat yang kami miliki. Anda pada dasarnya, sekali lagi, gunakan salah satunya, buat sendiri. Anda dapat membuat kebijakan Anda sendiri, seperti yang terlihat di sini. Gunakan salah satu templat dan Anda dapat memodifikasinya sesuai kebutuhan. Kami juga dapat melihat Hak Efektif SQL Server. Ini akan memverifikasi dan membuktikan bahwa izin ditetapkan dengan benar untuk pengguna dan peran. Sekali lagi, Anda dapat pergi ke sana dan melihat serta melihat dan memverifikasi bahwa izin ditetapkan dengan benar untuk pengguna dan peran. Kemudian dengan Hak Akses Objek SQL Server Anda kemudian dapat menelusuri dan menganalisis pohon objek SQL Server turun dari tingkat server ke peran tingkat objek dan titik akhir. Dan Anda dapat langsung melihat izin warisan yang ditetapkan dan efektif serta properti terkait keamanan di tingkat objek. Ini memberi Anda pandangan yang baik tentang akses yang Anda miliki pada objek basis data Anda dan siapa yang memiliki akses ke sana.
Kami memiliki, sekali lagi, laporan kami yang kami miliki. Itu adalah laporan kalengan, kami memiliki beberapa yang dapat Anda pilih untuk melakukan pelaporan. Dan banyak dari ini dapat disesuaikan atau Anda dapat memiliki laporan pelanggan Anda dan menggunakannya bersama dengan layanan pelaporan dan dapat membuat laporan kustom Anda sendiri dari sana. Sekarang Perbandingan Snapshot, ini adalah fitur yang cukup keren, saya pikir, di mana Anda dapat pergi ke sana dan Anda dapat melakukan perbandingan dari snapshot Anda yang telah Anda ambil dan melihat apakah ada perbedaan dalam jumlah. Apakah ada objek yang ditambahkan, apakah ada izin yang telah berubah, apa pun yang kita mungkin dapat melihat perubahan apa yang telah dibuat antara snapshot yang berbeda. Beberapa orang akan melihatnya pada level bulanan - mereka akan melakukan snapshot bulanan dan kemudian melakukan perbandingan setiap bulan untuk melihat apakah ada yang berubah. Dan jika tidak ada yang seharusnya diubah, apa pun yang pergi ke pertemuan kontrol perubahan, dan Anda melihat bahwa beberapa izin telah diubah, Anda dapat kembali untuk melihat apa yang telah terjadi. Ini adalah fitur yang cukup bagus di sini di mana Anda dapat melakukan perbandingan, lagi, dari semua yang diaudit dalam snapshot.
Kemudian Perbandingan Penilaian Anda. Ini adalah fitur bagus lain yang kami miliki di mana Anda dapat pergi ke sana dan melihat penilaian dan kemudian melakukan perbandingan dari mereka dan perhatikan bahwa perbandingan di sini memiliki akun SA yang tidak dinonaktifkan dalam snapshot baru-baru ini yang telah saya lakukan - itu sekarang diperbaiki. Ini adalah hal yang cukup bagus di mana Anda dapat menunjukkan bahwa, oke, kami memang memiliki beberapa risiko, mereka diidentifikasi oleh alat, dan sekarang kami telah mengurangi risiko tersebut. Dan, sekali lagi, ini adalah laporan yang baik untuk menunjukkan kepada auditor bahwa sebenarnya risiko-risiko tersebut telah dikurangi dan diurus.
Singkatnya, keamanan basis data, ini sangat penting, dan saya pikir banyak kali kita melihat pelanggaran yang berasal dari sumber eksternal dan kadang-kadang kita tidak terlalu memperhatikan pelanggaran internal dan itulah beberapa hal yang kami perlu diwaspadai. Dan Secure akan membantu Anda di sana untuk memastikan bahwa tidak ada hak istimewa yang tidak perlu ditetapkan, Anda tahu, pastikan semua keamanan ini diatur dengan benar ke akun. Pastikan akun SA Anda memiliki kata sandi. Juga memeriksa sejauh, apakah kunci enkripsi Anda, apakah sudah diekspor? Hanya beberapa hal berbeda yang kami periksa dan kami akan memberi tahu Anda jika ada masalah dan pada tingkat masalah apa. Kami membutuhkan alat, banyak profesional yang memerlukan alat untuk mengelola dan memantau izin akses basis data, dan kami benar-benar melihat kemampuan yang luas untuk mengontrol izin basis data dan melacak aktivitas akses dan mengurangi risiko pelanggaran.
Sekarang bagian lain dari produk keamanan kami adalah bahwa ada WebEx yang dibahas dan bagian dari presentasi yang kami bicarakan sebelumnya adalah data. Anda tahu siapa yang mengakses apa, apa saja yang Anda miliki, dan itulah alat Manajer Kepatuhan SQL kami. Dan ada WebEx yang direkam pada alat itu dan yang benar-benar akan memungkinkan Anda untuk memantau siapa yang mengakses tabel apa, kolom apa, Anda dapat mengidentifikasi tabel yang memiliki kolom sensitif, sejauh tanggal lahir, informasi pasien, jenis tabel tersebut, dan sebenarnya melihat siapa yang memiliki akses ke informasi itu dan jika sedang diakses.
Eric Kavanagh: Baiklah, jadi mari kita selami pertanyaannya, saya kira, di sini. Mungkin, Dez, aku akan melemparkannya terlebih dahulu, dan Robin, berpadu sebisamu.
Dez Blanchfield: Ya, saya sudah gatal ingin mengajukan pertanyaan dari slide ke-2 dan ke-3. Apa kasus penggunaan khas yang Anda lihat untuk alat ini? Siapa tipe pengguna paling umum yang Anda lihat yang mengadopsi ini dan memainkannya? Dan di balik itu, model case yang tipikal, semacam, gunakan, bagaimana kabarnya? Bagaimana penerapannya?
Ignacio Rodriguez: Oke, kasus penggunaan khas yang kita miliki adalah DBA yang telah diberi tanggung jawab kontrol akses untuk database, yang memastikan bahwa semua izin ditetapkan seperti yang mereka inginkan dan kemudian melacak, dan standar mereka di tempat. Anda tahu, akun pengguna tertentu ini hanya dapat memiliki akses ke tabel khusus ini, dan sebagainya. Dan apa yang mereka lakukan adalah memastikan bahwa standar-standar itu telah ditetapkan dan standar-standar itu tidak berubah sepanjang waktu. Dan itu adalah salah satu hal besar yang digunakan orang untuk melacak dan mengidentifikasi jika ada perubahan yang dibuat yang tidak diketahui.
Dez Blanchfield: Karena merekalah yang menakutkan, bukan? Apakah Anda mungkin memiliki, katakanlah, dokumen strategi, Anda punya kebijakan yang mendukung itu, Anda punya kepatuhan dan tata kelola di bawahnya, dan Anda mengikuti kebijakan, Anda mematuhi tata kelola dan mendapat lampu hijau dan kemudian tiba-tiba sebulan kemudian seseorang mengeluarkan perubahan dan untuk beberapa alasan itu tidak melalui papan peninjauan perubahan yang sama atau proses perubahan, atau apa pun itu, atau proyek baru saja pindah dan tidak ada yang tahu.
Pernahkah Anda memiliki contoh yang dapat Anda bagikan - dan saya tahu, jelas, itu tidak selalu sesuatu yang Anda bagikan karena klien sedikit khawatir tentang hal itu, jadi kami tidak harus selalu menyebutkan nama - tetapi berikan kami contoh di mana Anda mungkin telah melihat ini sebenarnya, Anda tahu, sebuah organisasi telah menempatkan ini di tempat tanpa menyadarinya dan mereka hanya menemukan sesuatu dan menyadari, "Wow, itu bernilai sepuluh kali, kami baru saja menemukan sesuatu yang tidak kami sadari." Adakah contoh di mana orang telah menerapkan ini dan kemudian menemukan bahwa mereka memiliki masalah yang lebih besar atau masalah nyata yang tidak mereka sadari dan kemudian Anda segera ditambahkan pada daftar kartu Natal?
Ignacio Rodriguez: Ya saya pikir hal terbesar yang telah kita lihat atau telah laporkan adalah apa yang baru saja saya sebutkan, sejauh akses yang dimiliki seseorang. Ada pengembang dan ketika mereka mengimplementasikan alat mereka benar-benar tidak menyadari bahwa jumlah X dari pengembang ini memiliki banyak akses ke database dan memiliki akses ke objek tertentu. Dan satu hal lagi adalah akun read-only. Ada beberapa akun read-only yang mereka miliki, dan untuk mengetahui bahwa akun read-only ini sebenarnya, telah memasukkan data dan menghapus hak istimewa juga. Di situlah kami melihat beberapa manfaat bagi pengguna. Hal besar, sekali lagi, yang telah kita dengar bahwa orang-orang suka, adalah mampu, lagi, melacak perubahan dan memastikan bahwa tidak ada yang membutakan mereka.
Dez Blanchfield: Seperti yang disorot Robin, Anda punya skenario yang sering tidak dipikirkan orang, bukan? Ketika kita melihat ke depan, kita berpikir, Anda tahu, jika kita melakukan segalanya sesuai dengan aturan, dan saya menemukan, dan saya yakin Anda melihatnya juga - katakan padaku jika Anda tidak setuju dengan itu - organisasi fokus jadi banyak pada pengembangan strategi dan kebijakan dan kepatuhan dan tata kelola dan KPI dan pelaporan, bahwa mereka sering begitu terpaku pada hal itu, mereka tidak memikirkan outlier. Dan Robin punya contoh yang sangat bagus yang akan saya curi darinya - maaf Robin - tetapi contohnya adalah waktu di mana salinan langsung dari database, snapshot dan memasukkannya ke dalam tes pengembangan, kan? Kami melakukan dev, kami melakukan tes, kami melakukan UAT, kami melakukan integrasi sistem, semua hal semacam itu dan kemudian kami melakukan banyak tes kepatuhan sekarang. Seringkali tes dev, UAT, SIT sebenarnya memiliki komponen kepatuhan di atasnya di mana kami hanya memastikan semuanya sehat dan aman, tetapi tidak semua orang melakukannya. Contoh ini yang diberikan Robin dengan salinan langsung dari database yang diuji dengan lingkungan pengembangan untuk melihat apakah masih bekerja dengan data langsung. Sangat sedikit perusahaan yang duduk dan berpikir, "Apakah itu terjadi atau apakah mungkin?" Mereka selalu terpaku pada hal-hal produksi. Seperti apa perjalanan implementasi itu? Apakah kita berbicara tentang hari, minggu, bulan? Seperti apa tampilan penyebaran reguler untuk organisasi ukuran rata-rata?
Ignacio Rodriguez: Days. Ini bahkan tidak berhari-hari, maksudku, ini hanya beberapa hari. Kami baru saja menambahkan fitur di mana kami dapat mendaftarkan banyak, banyak server. Alih-alih harus masuk ke sana dalam alat, dan mengatakan Anda memiliki 150 server, Anda harus masuk ke sana secara individual dan mendaftarkan server - sekarang Anda tidak perlu melakukan itu. Ada file CSV yang Anda buat dan kami secara otomatis menghapusnya dan kami tidak menyimpannya di sana karena masalah keamanan. Tapi itu hal lain yang harus kita pertimbangkan, apakah Anda akan memiliki file CSV di luar sana dengan nama pengguna / kata sandi.
Apa yang kami lakukan adalah kami secara otomatis, apakah kami menghapusnya lagi, tetapi itu adalah opsi yang Anda miliki. Jika Anda ingin masuk ke sana secara individu dan mendaftarkannya dan tidak ingin mengambil risiko itu, maka Anda dapat melakukannya. Tetapi jika Anda ingin menggunakan file CSV, meletakkannya di lokasi yang aman, arahkan aplikasi ke lokasi itu, itu akan menjalankan file CSV dan kemudian secara otomatis diatur untuk menghapus file itu setelah selesai. Dan itu akan pergi dan memastikan dan memeriksa file tersebut dihapus. Tiang terpanjang di pasir yang kami miliki sejauh implementasi adalah pendaftaran server yang sebenarnya.
Dez Blanchfield: Oke. Sekarang Anda berbicara tentang laporan. Bisakah Anda memberi kami sedikit lebih detail dan wawasan tentang apa yang datang pra-bundel sejauh melaporkan sekitar saja, saya kira, komponen penemuan melihat apa yang ada di sana dan melaporkannya, keadaan bangsa saat ini, apa yang datang sebelum dibangun dan dibuat sebelumnya sejauh laporan seputar kondisi kepatuhan dan keamanan saat ini, dan kemudian seberapa mudahkah itu dapat diperpanjang? Bagaimana kita membangun itu?
Ignacio Rodriguez: Oke. Beberapa laporan yang kami miliki, kami memiliki laporan yang berhubungan dengan lintas-server, cek masuk, filter pengumpulan data, riwayat aktivitas dan kemudian laporan penilaian risiko. Dan juga setiap akun Windows yang dicurigai. Ada banyak, banyak di sini. Lihat SQL login yang dicurigai, login server dan pemetaan pengguna, izin pengguna, semua izin pengguna, peran server, peran basis data, sejumlah kerentanan yang kami miliki atau laporan otentikasi mode campuran, tamu mengaktifkan basis data, kerentanan OS melalui XPS, prosedur yang diperluas, dan kemudian peran tetap yang rentan. Itulah beberapa laporan yang kami miliki.
Dez Blanchfield: Dan Anda menyebutkan mereka cukup signifikan dan beberapa dari mereka, yang merupakan hal yang logis. Seberapa mudah bagi saya untuk menyesuaikannya? Jika saya menjalankan laporan dan saya mendapatkan grafik besar yang hebat ini, tetapi saya ingin mengambil beberapa bagian yang saya tidak terlalu tertarik dan menambahkan beberapa fitur lain, apakah ada penulis laporan, apakah ada semacam antarmuka dan alat untuk mengonfigurasi dan menyesuaikan atau bahkan berpotensi membuat laporan lain dari awal?
Ignacio Rodriguez: Kami kemudian akan mengarahkan pengguna untuk menggunakan Layanan Laporan SQL Microsoft untuk melakukan itu dan kami memiliki banyak pelanggan yang benar-benar akan mengambil beberapa laporan, menyesuaikan dan menjadwalkan mereka kapan pun mereka mau. Beberapa dari orang-orang ini ingin melihat laporan-laporan ini setiap bulan atau setiap minggu dan mereka akan mengambil informasi yang kami miliki, memindahkannya ke Layanan Pelaporan dan kemudian melakukannya dari sana. Kami tidak memiliki penulis laporan yang terintegrasi dengan alat kami, tetapi kami memanfaatkan Layanan Pelaporan.
Dez Blanchfield: Saya pikir itu salah satu tantangan terbesar dengan alat-alat ini. Anda dapat masuk ke sana dan menemukan barang-barang, tetapi kemudian Anda harus dapat menariknya keluar, melaporkannya kepada orang-orang yang belum tentu DBA dan insinyur sistem. Ada peran menarik yang muncul dalam pengalaman saya dan itu, Anda tahu, petugas risiko selalu berada di organisasi dan bahwa mereka sebagian besar sudah ada dan berbagai risiko yang sama sekali berbeda yang telah kita lihat baru-baru ini, sedangkan sekarang dengan data pelanggaran menjadi bukan hanya hal tetapi tsunami yang sebenarnya, CRO telah berubah dari, Anda tahu, SDM dan kepatuhan dan kesehatan dan jenis keselamatan fokus sekarang menjadi risiko dunia maya. Anda tahu, pelanggaran, peretasan, keamanan - jauh lebih teknis. Dan itu semakin menarik karena ada banyak CRO yang berasal dari silsilah MBA dan bukan silsilah teknis, jadi mereka harus menggerakkan kepala mereka, semacam, apa artinya ini untuk transisi antara risiko siber pindah ke suatu CRO, dan sebagainya. Tetapi hal besar yang mereka inginkan hanyalah pelaporan visibilitas.
Bisakah Anda memberi tahu kami segala sesuatu di sekitar penentuan posisi terkait dengan kepatuhan? Jelas salah satu kekuatan besar dari ini adalah bahwa Anda dapat melihat apa yang terjadi, Anda dapat memonitornya, Anda dapat belajar, Anda dapat melaporkannya, Anda dapat bereaksi terhadapnya, Anda bahkan dapat mendahului beberapa hal. Tantangan utama adalah kepatuhan tata kelola. Apakah ada bagian penting dari ini yang dengan sengaja menghubungkan ke persyaratan kepatuhan yang ada atau kepatuhan industri seperti PCI, atau sesuatu seperti itu saat ini, atau apakah itu sesuatu yang masuk dalam peta jalan? Apakah itu, semacam, cocok dengan kerangka kerja seperti COBIT, ITIL dan standar ISO? Jika kita menggunakan alat ini, apakah itu memberi kita serangkaian pemeriksaan dan keseimbangan yang sesuai dengan kerangka kerja itu, atau bagaimana kita membangunnya ke dalam kerangka kerja itu? Di mana posisi dengan hal-hal semacam itu dalam pikiran?
Ignacio Rodriguez: Ya, ada template yang kami miliki yang kami kirimkan dengan alat. Dan kami sampai pada titik di mana kami mengevaluasi kembali template kami dan kami akan menambahkan dan akan ada lebih banyak segera. FISMA, FINRA, beberapa templat tambahan yang kami miliki, dan kami biasanya meninjau templat tersebut dan mencari untuk melihat apa yang telah berubah, apa yang perlu kita tambahkan? Dan kami benar-benar ingin mencapai titik di mana, Anda tahu, persyaratan keamanan telah berubah sedikit, jadi kami mencari cara untuk membuat hal ini dapat diperluas dengan cepat. Itu adalah sesuatu yang kita lihat di masa depan.
Tapi saat ini kami sedang mencari kemungkinan membuat template dan bisa mendapatkan template dari situs web; Anda dapat mengunduhnya. Dan itulah cara kami mengatasinya - kami menanganinya melalui templat, dan kami mencari cara di masa depan di sini untuk membuatnya mudah diperluas dan cepat. Karena ketika saya dulu melakukan audit, Anda tahu, segalanya berubah. Auditor akan datang satu bulan dan bulan berikutnya mereka ingin melihat sesuatu yang berbeda. Maka itulah salah satu tantangan dengan alat, adalah mampu membuat perubahan itu dan mendapatkan apa yang Anda butuhkan, dan itulah, semacam, di mana kami ingin mencapai.
Dez Blanchfield: Saya kira tantangan auditor berubah secara teratur mengingat fakta bahwa dunia bergerak lebih cepat. Dan sekali waktu persyaratan dari sudut pandang audit, dalam pengalaman saya, hanya akan menjadi kepatuhan komersial murni, dan kemudian menjadi kepatuhan teknis dan sekarang kepatuhan operasional. Dan ada semua ini, Anda tahu, setiap hari seseorang muncul dan mereka tidak hanya mengukur Anda pada sesuatu seperti operasi ISO 9006 dan 9002, mereka melihat segala macam hal. Dan saya melihat sekarang seri 38.000 menjadi hal besar juga dalam ISO. Saya membayangkan itu hanya akan menjadi lebih dan lebih menantang. Saya akan menyerahkan kepada Robin karena saya telah memonopoli bandwidth.
Terima kasih banyak melihat itu, dan saya pasti akan menghabiskan lebih banyak waktu untuk mengetahuinya karena saya tidak benar-benar menyadari bahwa itu sebenarnya cukup mendalam. Jadi, terima kasih, Ignacio, aku akan menyerahkan kepada Robin sekarang. Presentasi yang bagus, terima kasih. Robin, menyeberang ke arahmu.
Robin Bloor: Oke Iggy, saya akan memanggil Anda Iggy, jika tidak apa-apa. Apa yang membingungkan saya, dan saya pikir dari sudut pandang beberapa hal yang dikatakan Dez dalam presentasinya, ada banyak hal buruk yang terjadi di luar sana yang harus Anda katakan orang benar-benar tidak menjaga data. Anda tahu, terutama ketika sampai pada kenyataan bahwa Anda hanya melihat sebagian dari gunung es dan mungkin ada banyak hal yang terjadi yang tidak dilaporkan oleh siapa pun. Saya tertarik pada perspektif Anda tentang berapa banyak pelanggan yang Anda ketahui, atau pelanggan potensial yang Anda ketahui, memiliki tingkat perlindungan yang Anda, jenisnya, tawarkan dengan tidak hanya ini, tetapi juga teknologi akses data Anda? Maksud saya, siapa di luar sana yang diperlengkapi dengan baik untuk menghadapi ancaman, apakah pertanyaannya?
Ignacio Rodriguez: Siapa yang dilengkapi dengan baik? Maksud saya, banyak pelanggan yang kita benar-benar belum membahas audit apa pun, Anda tahu. Mereka sudah memiliki beberapa, tetapi hal besar adalah mencoba untuk mengikutinya dan berusaha untuk mempertahankannya dan memastikan. Masalah besar yang kita lihat adalah - dan bahkan saya miliki ketika saya melakukan kepatuhan, adalah - jika Anda menjalankan skrip Anda, Anda akan melakukannya setiap kuartal sekali ketika auditor akan datang dan Anda telah menemukan masalah. Yah, coba tebak, itu sudah terlambat, audit ada di sana, auditor ada di sana, mereka ingin laporan mereka, mereka panji. Dan kemudian apakah kita mendapatkan nilai atau kita diberitahu, hei, kita perlu memperbaiki masalah ini, dan di situlah ini akan masuk. Itu akan menjadi hal yang lebih proaktif di mana Anda dapat menemukan risiko Anda dan mengurangi risiko dan itulah apa yang dicari pelanggan kami. Cara untuk menjadi agak proaktif dan bukannya reaktif ketika auditor masuk dan menemukan beberapa akses tidak sesuai dengan yang seharusnya, orang lain memiliki hak administratif dan mereka tidak boleh memilikinya, hal-hal semacam itu. Dan dari situlah kami melihat banyak umpan balik, bahwa orang menyukai alat ini dan menggunakannya untuk itu.
Robin Bloor: Oke, pertanyaan lain yang saya miliki adalah pertanyaan yang jelas, tapi saya hanya ingin tahu. Berapa banyak orang yang benar-benar datang kepada Anda setelah peretasan? Di mana, Anda tahu, Anda mendapatkan bisnis, bukan karena mereka melihat lingkungan mereka dan berpikir bahwa mereka perlu diamankan dengan cara yang lebih terorganisir, tetapi sebenarnya Anda berada di sana hanya karena mereka telah mengalami beberapa rasa sakit.
Ignacio Rodriguez: Di waktuku di IDERA, aku belum pernah melihatnya. Jujur dengan Anda, sebagian besar interaksi saya dengan pelanggan yang saya telah terlibat dengan lebih dari melihat ke depan dan mencoba untuk memulai audit dan mulai melihat keistimewaan, dan sebagainya. Seperti yang saya katakan, saya memiliki diri saya sendiri, belum berpengalaman dalam waktu saya di sini, bahwa kita memiliki seseorang yang datang setelah pelanggaran yang saya tahu.
Robin Bloor: Oh, itu menarik. Saya akan berpikir akan ada setidaknya beberapa. Saya sebenarnya melihat ini, tetapi juga menambahkannya, semua kerumitan yang sebenarnya membuat data aman di seluruh perusahaan dengan segala cara dan dalam setiap aktivitas yang Anda lakukan. Apakah Anda menawarkan konsultasi secara langsung untuk membantu orang lain? Maksud saya, jelas bahwa Anda dapat membeli alat, tetapi menurut pengalaman saya, sering orang membeli alat yang canggih dan menggunakannya dengan sangat buruk. Apakah Anda menawarkan konsultasi khusus - apa yang harus dilakukan, siapa yang harus dilatih dan hal-hal seperti itu?
Ignacio Rodriguez: Ada beberapa layanan yang Anda bisa, sejauh layanan pendukung, yang akan memungkinkan beberapa dari itu terjadi. Namun sejauh konsultasi, kami tidak menyediakan layanan konsultasi apa pun selain pelatihan, Anda tahu, bagaimana menggunakan alat dan hal-hal seperti itu, beberapa di antaranya akan ditangani dengan tingkat dukungan. Tetapi pada dasarnya kami tidak memiliki departemen layanan yang beroperasi dan melakukan itu.
Robin Bloor: Oke. Dalam hal database yang Anda liput, presentasi di sini hanya menyebutkan Microsoft SQL Server - apakah Anda juga menggunakan Oracle?
Ignacio Rodriguez: Kami akan memperluas ke ranah Oracle dengan Compliance Manager terlebih dahulu. Kami akan memulai proyek dengan itu sehingga kami akan mencari untuk memperluas ini ke Oracle.
Robin Bloor: Dan apakah Anda akan pergi ke tempat lain?
Ignacio Rodriguez: Ya itu sesuatu yang harus kita lihat di peta jalan dan lihat bagaimana keadaannya, tetapi itu adalah beberapa hal yang sedang kita pertimbangkan, adalah apa yang perlu diserang oleh platform basis data lain.
Robin Bloor: Saya juga tertarik pada perpecahan ini, saya belum memiliki gambaran tentang hal ini sebelumnya, tetapi dalam hal penyebaran, berapa banyak dari ini sebenarnya sedang digunakan di awan, atau hampir semuanya di tempat ?
Ignacio Rodriguez: Semua di tempat. Kami juga ingin memperluas Secure untuk mencakup Azure, ya.
Robin Bloor: Itu pertanyaan Azure, Anda belum ke sana tetapi pergi ke sana, itu masuk akal.
Ignacio Rodriguez: Ya, kami akan segera ke sana.
Robin Bloor: Ya, well, pengertian saya dari Microsoft adalah bahwa ada banyak sekali tindakan dengan Microsoft SQL Server di Azure. Jika Anda suka, itu menjadi bagian penting dari apa yang mereka tawarkan. Pertanyaan lain yang saya tertarik - ini bukan teknis, ini lebih seperti pertanyaan bagaimana-Anda-terlibat - siapa pembeli untuk ini? Apakah Anda didekati oleh departemen TI atau Anda didekati oleh OMS, atau apakah itu orang yang berbeda? Ketika sesuatu seperti ini dipertimbangkan, apakah itu bagian dari melihat serangkaian hal untuk mengamankan lingkungan? Apa situasinya?
Ignacio Rodriguez: Ini campuran. Kami memang memiliki OMS, sering kali tim penjualan akan menjangkau dan berbicara dengan DBA. Dan kemudian DBA, sekali lagi, telah disewa untuk mendapatkan semacam kebijakan proses audit. Dan kemudian dari sana mereka akan mengevaluasi alat-alat dan melaporkan rantai dan membuat keputusan pada bagian mana yang ingin mereka beli. Tapi itu tas campuran siapa yang akan menghubungi kami.
Robin Bloor: Oke. Saya pikir saya akan menyerahkan kembali kepada Eric sekarang karena kami sudah, sudah selesai, tapi mungkin ada beberapa pertanyaan penonton. Eric?
Eric Kavanagh: Ya tentu, kami telah membakar banyak konten bagus di sini. Inilah satu pertanyaan yang sangat bagus yang akan saya sampaikan kepada Anda dari salah satu peserta. Dia berbicara tentang blockchain dan apa yang Anda bicarakan, dan dia bertanya, apakah ada cara yang mungkin untuk memigrasi bagian read-only dari database SQL ke sesuatu yang mirip dengan apa yang ditawarkan blockchain? Agak sulit.
Ignacio Rodriguez: Ya, saya akan jujur dengan Anda, saya tidak punya jawaban untuk itu.
Eric Kavanagh: Saya akan memberikannya kepada Robin. Saya tidak tahu apakah Anda mendengar pertanyaan itu, Robin, tetapi dia hanya bertanya, apakah ada cara untuk memigrasi bagian read-only dari database SQL ke sesuatu yang mirip dengan apa yang ditawarkan blockchain? Apa pendapatmu tentang itu?
Robin Bloor: Seperti, jika Anda akan memigrasi basis data, Anda juga akan memigrasi lalu lintas basis data. Ada serangkaian kompleksitas yang terlibat dalam melakukan itu. Tetapi Anda tidak akan melakukannya karena alasan lain selain membuat data tidak dapat diganggu gugat. Karena blockchain akan lebih lambat untuk diakses, jadi, Anda tahu, jika kecepatan adalah hal Anda - dan hampir selalu adalah hal - maka Anda tidak akan melakukannya. Tetapi jika Anda ingin memberikan, semacam, akses terenkripsi yang dikunci ke sebagiannya untuk beberapa orang yang melakukan hal semacam itu, Anda dapat melakukannya, tetapi Anda harus memiliki alasan yang sangat bagus. Anda lebih mungkin meninggalkannya di tempat itu dan mengamankannya di tempat itu.
Dez Blanchfield: Ya, saya setuju, jika saya bisa menimbang dengan cepat. Saya pikir tantangan blockchain, bahkan blockchain yang terbuka untuk umum, digunakan pada bitcoin - kami merasa sulit untuk mengukurnya di luar, semacam, empat transaksi per menit dalam mode terdistribusi penuh. Tidak begitu banyak karena tantangan komputasi, meskipun ada di sana, node penuh hanya merasa sulit untuk mengikuti volume basis data bergerak mundur dan maju dan jumlah data yang disalin karena itu pertunjukan sekarang, bukan hanya MB.
Tetapi juga, saya pikir tantangan utamanya adalah Anda perlu mengubah arsitektur aplikasi karena dalam database sebagian besar tentang membawa segala sesuatu ke lokasi pusat dan Anda mendapatkan model tipe client-server. Blockchain adalah kebalikannya; ini tentang salinan yang didistribusikan. Ini lebih seperti BitTorrent dalam banyak hal, dan itu adalah bahwa banyak salinan di luar sana dari data yang sama. Dan, Anda tahu, seperti Cassandra dan basis data dalam memori tempat Anda mendistribusikannya dan banyak server dapat memberi Anda salinan data yang sama dari indeks yang didistribusikan. Saya pikir dua bagian utama, seperti yang Anda katakan, Robin, adalah: satu, jika Anda ingin mengamankannya dan memastikan bahwa itu tidak dapat dicuri atau diretas, itu bagus, tetapi itu belum tentu platform transaksional, dan kami Saya sudah mengalaminya dengan proyek bitcoin. Tetapi secara teori orang lain telah memecahkannya. Tetapi juga, secara arsitektur banyak aplikasi di luar sana yang tidak tahu cara bertanya dan membaca dari blockchain.
Ada banyak pekerjaan yang harus dilakukan di sana. Tapi saya pikir titik kunci dengan pertanyaan di sana, hanya jika saya bisa, adalah alasan memindahkannya ke blockchain, saya pikir pertanyaan yang diajukan adalah, dapatkah Anda mengambil data dari database dan memasukkannya ke dalam bentuk yang lebih aman? Dan jawabannya adalah, Anda dapat meninggalkannya di database dan mengenkripsinya. Ada banyak teknologi sekarang. Enkripsi data hanya saat istirahat atau bergerak. Tidak ada alasan mengapa Anda tidak dapat memiliki data terenkripsi dalam memori dan dalam database pada disk, yang merupakan tantangan yang jauh lebih sederhana karena Anda tidak memiliki perubahan arsitektur tunggal. Biasanya sebagian besar platform basis data, itu sebenarnya hanya fitur yang diaktifkan.
Eric Kavanagh: Ya, kami punya satu pertanyaan terakhir yang akan saya sampaikan kepada Anda, Iggy. Ini cukup bagus. Dari perspektif SLA dan perencanaan kapasitas, jenis pajak apa yang ada dengan menggunakan sistem Anda? Dengan kata lain, ada latensi tambahan atau overhead throughput jika, dalam sistem basis data produksi, seseorang ingin melibatkan teknologi IDERA di sini?
Ignacio Rodriguez: Kami benar-benar tidak melihat banyak dampak. Sekali lagi, ini adalah produk tanpa agen dan semuanya tergantung, seperti yang saya sebutkan sebelumnya, snapshots. Aman didasarkan pada snapshot. Itu akan pergi ke sana dan benar-benar menciptakan pekerjaan yang akan pergi ke sana berdasarkan interval yang telah Anda pilih. Entah Anda ingin melakukannya, lagi, mingguan, harian, bulanan. Itu akan pergi ke sana dan melaksanakan pekerjaan itu dan kemudian mengumpulkan data dari instance. Pada saat itu maka beban kemudian kembali ke layanan manajemen dan pengumpulan, setelah Anda mulai melakukan perbandingan dan semua itu, beban pada basis data tidak berperan dalam hal itu. Semua beban itu sekarang berada di server manajemen dan pengumpulan, sejauh melakukan perbandingan dan semua pelaporan dan semua itu. Satu-satunya saat Anda menekan basis data selalu ketika melakukan snapshotting yang sebenarnya. Dan kami belum memiliki laporan yang benar-benar merugikan lingkungan produksi.
Eric Kavanagh: Ya, itu poin bagus yang Anda buat di sana. Pada dasarnya Anda hanya dapat mengatur berapa banyak foto yang Anda ambil, berapa interval waktu itu, dan tergantung pada apa yang mungkin terjadi, tetapi itu arsitektur yang sangat cerdas. Itu bagus, bung. Kalian semua berada di garis depan mencoba melindungi kita dari semua peretas yang kita bicarakan dalam 25 menit pertama pertunjukan. Dan mereka di luar sana, kawan, jangan salah.
Dengar, kami akan memposting tautan ke webcast ini, arsipnya, di situs kami insideanalysis.com. Anda dapat menemukan hal-hal di SlideShare, Anda dapat menemukannya di YouTube. Dan teman-teman, barang bagus. Terima kasih atas waktu Anda, Iggy, saya suka nama panggilan Anda. Dengan itu kami akan mengucapkan selamat tinggal, kawan. Terima kasih banyak atas waktu dan perhatiannya. Kami akan menyusul Anda lain kali. Sampai jumpa.
