작성자 : Techopedia Staff, 2017 년 5 월 10 일
테이크 아웃 : 호스트 Eric Kavanagh가 Dr. Robin Bloor 및 IDERA의 Vicky Harp와 보안 및 권한에 대해 논의합니다.
현재 로그인하지 않았습니다. 비디오를 보려면 로그인 또는 가입하십시오.
에릭 카바나 흐 : 좋아, 신사 숙녀 여러분 안녕하세요. 다시 환영합니다. 수요일, 동부 4 대, 엔터프라이즈 기술 세계에서 핫 테크놀로지가 다시 한 번 왔습니다! 네 확실합니다. 물론 Bloor Group에서 발표 한 Techopedia의 친구들에 의해 제공됩니다. 오늘날의 주제는 정말 멋진 주제입니다.“허가를 요청하는 것이 더 좋습니다 : 개인 정보 보호 및 보안을위한 모범 사례.”맞습니다. 그것은 어려운 주제이며 많은 사람들이 그것에 대해 이야기하지만 꽤 심각한 주제입니다. 솔직히 매일 점점 심각 해지고 있습니다. 많은 조직에서 여러 가지면에서 중대한 문제입니다. 우리는 그것에 대해 이야기 할 것이며 요즘 사방에있는 것처럼 보이는 사악한 캐릭터로부터 조직을 보호하기 위해 할 수있는 일에 대해 이야기 할 것입니다.
오늘의 발표자는 IDERA에서 전화하는 Vicky Harp입니다. LinkedIn에서 IDERA 소프트웨어를 볼 수 있습니다 – LinkedIn의 새로운 기능이 마음에 듭니다. 비록 그들이 특정 방식으로 문자열을 당기고 있다고 말할 수는 있지만, 사람들에게 접근하지 못하게하고, 프리미엄 멤버십을 구입하려고합니다. 거기서 우리는 로빈 블로어에게 전화를 걸고 있습니다 – 그는 오늘날 샌디에고 지역에 있습니다. 그리고 당신은 진정으로 중재자 / 분석가입니다.
그래서 우리는 무엇에 대해 이야기하고 있습니까? 데이터 유출. 방금 IdentityForce.com에서이 정보를 가져 왔습니다. 이미 경쟁에서 벗어났습니다. 우리는 올해 5 월에 왔으며, 수많은 데이터 유출이 있습니다. 물론 야후! 우리는 물론 미국 정부가 해킹 당했다고 들었습니다. 방금 프랑스 선거가 해킹당했습니다.
이것은 모든 곳에서 일어나고 있으며 계속되고 있으며 멈추지 않을 것입니다. 그래서 그것은 현실입니다. 그들이 말하는 것처럼 새로운 현실입니다. 우리는 실제로 시스템과 데이터의 보안을 강화하는 방법에 대해 생각할 필요가 있습니다. 그리고 그것은 진행중인 과정이므로 이제 발생하는 모든 다른 문제에 대해 생각할 시간입니다. 이것은 부분적인 목록 일 뿐이지 만, 오늘날 엔터프라이즈 시스템의 상황이 얼마나 위험한 지에 대한 일부 관점을 제공합니다. 이 쇼가 시작되기 전에 프리 쇼 밴터에서 우리는 내가 알고있는 누군가를 공격 한 랜섬웨어에 대해 이야기하고있었습니다. 누군가가 당신의 iPhone을 인계하고 돈을 다시 요구할 때 매우 불쾌한 경험입니다. 그러나 그것은 컴퓨터에 발생합니다. 그것은 시스템에 발생합니다. 저는 요 전날, 요트를 가지고있는 억만 장자에게 일어나고 있습니다. 언젠가 요트에 가서 모든 친구들에게 감동을 주려고한다고 상상해보십시오. 도둑이 일부 컨트롤, 제어판에 액세스하지 못했기 때문에 전원을 켤 수도 없습니다. 방금 다른 사람과의 인터뷰에서 항상 수동으로 재정의했습니다. 마찬가지로, 모든 커넥 티드 카를 좋아하지는 않습니다. 심지어 자동차를 해킹 할 수도 있습니다. 인터넷에 연결되어 있거나 침투 할 수있는 네트워크에 연결된 것은 무엇이든 해킹 할 수 있습니다.
따라서 상황이 얼마나 심각한 지 배경을 구성하는 데있어 고려해야 할 몇 가지 항목이 있습니다. 웹 기반 시스템은 요즘 어디에나 있으며 계속 확산되고 있습니다. 온라인으로 물건을 사는 사람은 몇 명입니까? 요즘에는 지붕을 뚫고 지나가고있어 요즘 아마존이 그토록 강력한 힘입니다. 많은 사람들이 온라인으로 물건을 구매하기 때문입니다.
그래서 15 년 전 사람들은 신용 카드를 웹 양식에 넣어 정보를 얻기 위해 매우 신경을 썼으며 그 당시에는“자신의 신용 카드를 웨이터에게 건네 주면 그래서 우리의 대답은 그렇습니다. 그것은 똑같습니다.이 모든 것은 제어 포인트가 있거나 액세스 포인트가 동일합니다. 같은 동전의 다른면에 사람들이 들어갈 수 있습니다. 누군가가 당신의 돈을 가져갈 수 있거나 누군가가 당신을 훔칠 수있는 위험에 빠집니다.
그런 다음 IoT는 물론 위협 단어를 확장합니다. 저는 그 단어를 좋아합니다. 내 말은, 모든 새로운 장치를 사용하여 누군가가 장치를 제어하는 시스템을 해킹 할 수 있다면 모든 봇을 당신에게 대항하여 많은 문제를 일으킬 수 있기 때문에 매우 심각한 문제입니다. 우리는 요즘 세계 경제를 가지고 있습니다. 위협은 더욱 확대되고 있으며, 더 나아가 다른 나라에있는 사람들도 나와 같은 방식으로 웹에 액세스 할 수 있고 러시아어를 말하는 방법을 모른다면 또는 다른 많은 언어를 사용하면 시스템을 해킹 할 때 무슨 일이 일어나고 있는지 이해하기가 어려워집니다. 따라서 네트워킹 및 가상화 기술이 향상되었습니다.
그러나 저는이 그림의 오른쪽에 칼이 있습니다. 칼이있는 이유는 모든 칼이 두 가지 방법을 모두 사용하기 때문입니다. 그것은 말처럼 양날의 칼이며, 오래된 진부한 말이지 만, 내가 당신에게 해를 줄 수 있거나 나에게 해를 줄 수있는 칼을 의미합니다. 수신 거부하거나 다른 사람이 가져 와서 다시 돌아올 수 있습니다. 실제로이 es 우화 중 하나입니다. 우리는 종종 적에게 우리 자신의 파괴 도구를 제공합니다. 정말 설득력있는 스토리이며 활과 화살을 사용하고 새를 쏘아 대는 사람과 관련이 있습니다. 화살이 다가올 때 그 새 친구의 깃털은 화살의 가장자리에있었습니다. 그는 화살표의 뒷면에 그것을 안내하기 위해 자신에게 생각했다.“오, 여기, 내 깃털, 내 가족이 나를 쓰러 뜨리는 데 사용될 것입니다.” 당신에 대한 통계는 집에 총을 가지고, 도둑이 총을 취할 수 있습니다. 글쎄, 이것은 모두 사실이다. 그래서, 나는 이것을 고려하기 위해 유추 할 수 있습니다.이 모든 다른 개발에는 긍정적 인면과 부정적인면이 있습니다.
그리고 엔터 프라이즈 컴퓨팅의 최첨단을 따르는 사람들을위한 컨테이너, 컨테이너는 최신 기능이며 기능을 제공하는 최신 방법입니다. 최소한 마이크로 서비스와 서비스 지향 아키텍처에서 가상화의 결혼입니다. 매우 흥미로운 것들. 컨테이너를 사용하여 보안 프로토콜, 응용 프로그램 프로토콜 및 데이터 등을 난독화할 수 있으며 일정 기간 동안 발전을 이룰 수 있지만 조만간 나쁜 사람이 알아낼 것입니다. 시스템을 활용하는 것을 방지하기가 더욱 어려워 질 것입니다. 네트워크와 보안을 복잡하게 만드는 사람들과 사람들이 로그인하는 곳이 있습니다.
우리는 브라우저 전쟁이 계속 진행되고 있으며 지속적으로 업데이트하여 최신 정보를 유지해야합니다. 우리는 구식 Microsoft Explorer 브라우저, 브라우저에서 해킹 및 사용 가능한 방법에 대해 계속 듣고 있습니다. 그래서 요즘 해킹으로 더 많은 돈을 벌 수 있고, 전체 산업이 있습니다. 이것은 Bloor 박사가 8 년 전에 저에게 가르쳐 준 것입니다. 왜 우리가 그토록 많은 것을보고 있는지 궁금해하고 있었으며 나, 그것은 해킹과 관련된 전체 산업이다. 그런 의미에서 보안에 관해 내가 가장 좋아하는 단어 중 하나 인 내러티브는 매우 부정직합니다. 왜냐하면 내러티브는 모든 비디오와 어떤 종류의 뉴스 보도에서 그들이 어떤 남자를 까마귀로 보여줍니다. 어두운 방에서 지하실에있는 것은 사실이 아닙니다. 그것은 현실을 나타내는 것이 아닙니다. 고독한 해커입니다. 고독한 해커가 거의 없으며, 밖에 있습니다. 문제를 일으키고 있습니다. 큰 문제를 일으키지는 않지만 많은 돈을 벌 수는 있습니다. 해커가 들어 와서 시스템에 침투 한 다음 다른 사람에게 해당 액세스 권한을 판매하고, 다른 사람에게 판매하고, 다른 사람에게 판매 한 다음 누군가를 해킹하여 악용하는 사람이 있습니다. 도난당한 데이터를 활용하는 방법은 무수히 많습니다.
나는 우리가이 개념을 어떻게 화려하게했는지에 대해 놀랐습니다. 이 용어는 어디에서나 "성장 해킹"이라는 것이 좋습니다. 우리가 북한과 미사일 발사에 대해 계속 듣고 해킹당하는 것처럼 해킹은 해킹이 좋은 일이 될 수 있다는 것을 알고 있습니다. 잘 됐네요 그러나 해킹은 종종 나쁜 일입니다. 이제 우리는 로빈 후드를 화려하게 만들 때 거의 로빈 후드처럼 화려합니다. 그리고 현금없는 사회가 있습니다. 솔직히 저의 일광과 관련이 있습니다. 내가들을 때마다“아니요, 하지 마십시오! 제발 하지마!”나는 우리 돈이 모두 사라지는 것을 원하지 않습니다. 따라서 이것들은 고려해야 할 몇 가지 문제이며 다시 한 번 고양이와 마우스 게임입니다. 절대 멈추지 않을 것입니다. 항상 보안 프로토콜과 보안 프로토콜의 발전이 필요합니다. 또한 외부에있는 사람을 알고 감지하기 위해 시스템을 모니터링하기 때문에 내부 작업 일 수도 있습니다. 따라서, 그것은 지속적인 문제입니다. 그것은 꽤 오랫동안 지속될 문제입니다 – 그것에 대해 실수하지 마십시오.
그와 함께, 나는 데이터베이스 보안에 대한 몇 가지 생각을 우리와 공유 할 수있는 Dr. Bloor에게 전달할 것입니다. 로빈, 가져가
Robin Bloor : 흥미로운 해킹 중 하나입니다. 약 5 년 전에 발생한 것으로 생각되지만 기본적으로 해킹 된 카드 처리 회사였습니다. 그리고 많은 카드 정보가 도난당했습니다. 그러나 나에게 흥미로운 점은 그것이 실제로 들어간 테스트 데이터베이스라는 사실이며, 실제로 실제 처리 카드 데이터베이스에 들어가는 데 많은 어려움을 겪었을 것입니다. 그러나 개발자와의 관계를 알고 있으면 데이터베이스를 잘라서 거기에 넣습니다. 그것을 막기 위해 훨씬 더 경계해야했을 것입니다. 그러나 흥미로운 해킹 이야기가 많이 있습니다. 한 영역에서 만들어지면 매우 흥미로운 주제가됩니다.
에릭이 말한 것 중 일부를 반복해서 설명하지만 데이터 보안을 정적 인 대상으로 생각하기는 쉽습니다. 정적 상황을 분석하고 방어를 방어에 넣는 것을 생각하기가 쉽지만 그렇지는 않습니다. 움직이는 목표이며 보안 공간 전체를 정의하는 것 중 하나입니다. 그것은 모든 기술이 진화하는 방식이고, 나쁜 사람들의 기술도 진화합니다. 간단한 개요 : 데이터 도난은 전혀 새로운 것이 아니며 실제로 데이터 스파이는 데이터 도난이며 수천 년 동안 진행되어 왔습니다.
이러한 관점에서 가장 큰 데이터 강점은 영국이 독일 코드를 어 기고 미국인이 일본 코드를 어 기고 두 경우 모두 전쟁을 상당히 단축 시켰다는 것입니다. 그리고 그들은 유용하고 가치있는 데이터를 훔쳤습니다. 물론 매우 영리했습니다. 그러나 현재 진행되고있는 일은 여러 가지면에서 매우 영리합니다. 사이버 도난은 인터넷에서 태어나 2005 년 무렵에 폭발했습니다. 나는 모든 통계를 보았고 당신이 정말로 심각해지기 시작했을 때, 그리고 어떤 식 으로든 2005 년경에 시작했을 때 엄청나게 높은 숫자를 보았습니다. 그때. 많은 플레이어, 정부, 비즈니스, 해커 그룹 및 개인이 관여합니다.
나는 모스크바에 갔다 – 그것은 약 5 년이었다 – 나는 해킹 공간 전체를 조사하고있는 영국 출신의 남자와 실제로 많은 시간을 보냈다. 그리고 그는 말했습니다 – 그리고 이것이 사실인지 전혀 모르겠습니다. 나는 단지 그의 말을 받았지만, 아마도 가능성이 높습니다 – 러시아에는 비즈니스 네트워크 (Business Network)라는 것이 있는데, 이는 해커 그룹입니다. 그들은 KGB의 폐허에서 나왔습니다. 그리고 그들은 러시아 정부가 그것들을 사용한다고 확신하지만, 다른 사람들에게 자신을 팔고 있다는 소문이 있었으며 소문이 나거나 소문에 따르면 다양한 외국 정부가 비즈니스 네트워크를 사용하고 있다고 말했습니다. 그럴듯한 부인. 이 사람들은 공격 할 수있는 수많은 손상된 PC 네트워크를 가지고있었습니다. 그리고 그들은 당신이 상상할 수있는 모든 도구를 가지고있었습니다.
따라서 공격 및 방어 기술이 발전했습니다. 또한 기업은 데이터 보유 여부에 관계없이 데이터를 관리해야합니다. 그리고 실제로 이미 시행 중이거나 시행되고있는 다양한 규제 측면에서 훨씬 명확 해지기 시작했습니다. 그리고 누군가가 어떤 식 으로든 향상시킬 가능성이 있기 때문에, 누군가는 해킹 비용을 감당해야 할 가능성을 줄일 수 있습니다. 그것이 필자가 필요하다고 생각하는 것 중 하나입니다. 해커에 대해서는 어느 곳에 나 위치 할 수 있습니다. 특히 당신의 조직 안에서 – 누군가가 문을 여는 것을 포함한다고 들었던 엄청나게 많은 해킹. 그 사람은 은행 강도 상황과 비슷합니다. 거의 항상 은행 강도가 좋은 사람은 내부자가 있다고 말합니다. 그러나 내부자는 정보 만 제공하면되므로 정보를 입수하고 누구인지 등을 알아 내기가 어렵습니다.
몰도바에있는 한 무리의 사람들에 의해 해킹 당했다면, 그 그룹에 대해 알고 있다고해도 어떻게 그들 주변에서 어떤 종류의 합법적 인 사건이 일어나게됩니까? 한 관할 구역에서 다른 관할 구역에 이르기까지 해커를 막을 수있는 국제적인 준비가 매우 적습니다. 그들은 기술과 정보를 공유합니다. 그것의 많은 오픈 소스입니다. 자신 만의 바이러스를 만들고 싶다면 완전히 공개 된 소스 인 바이러스 키트가 많이 있습니다. 또한 상당한 리소스를 보유하고 있으며 데이터 센터 및 PC 등에서 백만 개 이상의 손상된 장치에 봇넷을 보유한 많은 사람들이 있습니다. 일부는 오랫동안 지속되어 온 수익성있는 사업이며, 앞에서 언급했듯이 정부 그룹이 있습니다. 에릭이 말한 것처럼이 현상이 끝날 가능성은 거의 없다.
그래서 이것은 제가 최근에 언급 한 흥미로운 해킹입니다. 왜냐하면 그것은 꽤 최근의 해킹 이었기 때문입니다. 작년에 일어났다. 이더 리움 암호화 코인과 관련된 DAO 계약에 취약점이있었습니다. 그리고 포럼에서 논의되었으며, 하루 만에 DAO 계약이 해킹되어 그 취약점을 정확하게 사용했습니다. 에테르에서 5 천만 달러가 소거됐으며, DAO 프로젝트에 즉각적인 위기를 일으켜 폐쇄했다. 그리고 이더 리움은 실제로 해커가 돈에 접근하지 못하도록하기 위해 싸웠고, 그들은 그의 테이크를 줄였습니다. 그러나 확실하지는 않지만 해커는 실제로 공격 전에 에테르 가격을 낮추고 에테르 가격이 무너질 것이라는 사실을 알고 다른 방식으로 이익을 창출 한 것으로 믿어졌습니다.
그리고 그것은 당신이 원한다면 해커들이 사용할 수있는 또 하나의 전략입니다. 그들이 당신의 주가를 손상시킬 수 있고 그들이 그렇게 할 것이라는 것을 안다면, 그들은 단지 주가를 줄이고 해킹을하는 것만 필요합니다. 그래서 이런 사람들은 똑똑합니다. 그리고 가격은 광고를 위해 주식, 방해, 신원 도용, 모든 종류의 사기를 방해하고 단락시키는 투자를 포함한 돈, 혼란 및 몸값의 절도입니다. 그리고 그것은 정치적이거나 명백한 정보 감시 경향이 있으며 심지어 구글, 애플, 페이스 북을 해킹하려고 시도함으로써 얻을 수있는 버그 바운티를 살아가는 사람들도 있습니다 – 심지어 국방부조차도 실제로 버그 바운티를 제공합니다. 그리고 당신은 방금 해킹합니다. 그것이 성공하면, 당신은 가서 당신의 상을 청구하고, 피해는 없습니다, 그래서 좋은 일입니다, 당신은 알고 있습니다.
규정 준수 및 규정에 대해서도 언급 할 수 있습니다. 섹터 이니셔티브 외에도 많은 공식 규정이 있습니다. HIPAA, SOX, FISMA, FERPA 및 GLBA는 모두 미국 법률입니다. 표준이 있습니다. PCI-DSS는 상당히 일반적인 표준이되었습니다. 그리고 데이터 소유권에 관한 ISO 17799가 있습니다. 국가 규정은 유럽에서도 국가마다 다릅니다. 현재 GDPR – 글로벌 데이터는 무엇을 의미합니까? 글로벌 데이터 보호 규정 (Global Data Protection Regulation)은 이것이 의미한다고 생각하지만 내년에 발효 될 것이라고 말했다. 흥미로운 점은 전 세계에 적용된다는 것입니다. 개인 정보를 가지고 있고 유럽에 거주하는 고객이 5, 000 명 이상인 경우 회사가 실제로 본사를두고 있거나 운영하는 지역에 관계없이 유럽에서 실제로 업무를 수행하게됩니다. 벌칙, 최대 벌금은 연간 수입의 4 %에 불과합니다. 이는 엄청나게 큰 영향을 미칩니다.
DBMS 취약성에 대해 고려해야 할 것들 대부분의 귀중한 데이터는 실제로 데이터베이스에 있습니다. 올바른 DBMS 증권을 실제로 적용하지 않으면 우리가 그것을 사용 가능하게 만들고 잘 정리하고 더 취약하게 만드는 데 많은 시간을 투자했기 때문에 가치가 있습니다. 이와 같은 계획을 세우려면 조직 전체에서 취약한 데이터가 무엇인지 식별해야합니다. 데이터는 여러 가지 이유로 취약 할 수 있다는 점을 염두에 두어야합니다. 고객 데이터 일 수도 있지만 간첩 목적 등에 유용한 내부 문서 일 수도 있습니다. 보안 정책, 특히 액세스 보안과 관련하여 – 최근에는 새로운 오픈 소스에서 매우 약한 것으로 생각되는 암호화는 매우 견고하기 때문에 암호화가 더 많이 사용되고 있습니다.
보안 위반 비용은 대부분의 사람들이 알지 못했지만 실제로 보안 위반이 발생한 조직에서 발생한 일을 살펴보면 보안 위반 비용이 생각보다 훨씬 높다는 것이 밝혀졌습니다 . 그리고 고려해야 할 또 다른 사항은 공격 영역입니다. 조직과 함께 실행되는 모든 소프트웨어가 공격 영역을 나타 내기 때문입니다. 저장 방법에 관계없이 모든 장치도 마찬가지입니다. 전부, 인터넷은 사물 인터넷으로 공격면이 커지고 있으며 공격면은 아마도 두 배가 될 것입니다.
마지막으로 DBA와 데이터 보안. 데이터 보안은 일반적으로 DBA 역할의 일부입니다. 그러나 협력 적이기도합니다. 그리고 회사 정책에 따라야합니다. 그렇지 않으면 제대로 구현되지 않을 것입니다. 그렇게 말하면서, 나는 공을 통과시킬 수 있다고 생각합니다.
에릭 카바나 흐 : 좋아, 비키에게 열쇠를 줄게. 화면을 공유하거나이 슬라이드로 이동할 수 있습니다.
Vicky Harp : 아니요, 이 슬라이드부터 시작하겠습니다. 대단히 감사합니다. 그래서, 나는 단지 빠른 순간을 가지고 자신을 소개하고 싶었습니다. 저는 Vicky Harp입니다. 저는 IDERA 소프트웨어의 SQL 제품에 대한 관리자, 제품 관리 및 우리에게 친숙하지 않은 분들을 위해 IDERA에는 여러 제품군이 있지만 SQL Server쪽에 대해 이야기하고 있습니다. 우리는 성능 모니터링, 보안 준수, 백업, 관리 도구를 제공합니다. 이는 일종의 목록 일뿐입니다. 물론 오늘 제가 이야기하고자하는 것은 보안과 규정 준수입니다.
내가 오늘 이야기하고 싶은 것의 대부분은 반드시 우리의 제품은 아니지만 나중에 그 예를 보여 주려고합니다. 데이터베이스 보안, 현재 데이터베이스 보안 세계의 일부 위협, 고려해야 할 사항 및 SQL 보안을 위해 고려해야 할 사항에 대한 추가 아이디어에 대해 이야기하고 싶었습니다. 서버 데이터베이스 및 언급 한 바와 같이 사용자가 적용 할 수있는 규제 프레임 워크를 준수하는지 확인하십시오. 여러 가지 다른 규정이 있습니다. 그들은 다른 산업, 전 세계의 다른 장소에서 일하고 있으며, 이것들은 생각할 것입니다.
그래서 저는 잠시 시간을내어 데이터 유출 상태에 대해 이야기하고 싶습니다. – 이미 논의 된 내용을 너무 많이 반복하지 않기 위해 – 최근에이 인텔 보안 연구를 살펴 보았습니다. 1500 명 정도의 조직에서 데이터 손실 위반과 관련하여 평균 6 건의 보안 위반이 발생했으며 그 중 68 %는 어떤 의미에서 공개해야했기 때문에 주가에 영향을 미쳤거나 신용을 얻어야했습니다. 고객 또는 직원 등에 대한 모니터링
흥미로운 또 다른 통계는 43 %를 책임 진 내부 행위자입니다. 따라서 많은 사람들이 해커와 이러한 종류의 그늘진 준 정부 기관 또는 조직 범죄 등에 대해 많은 것을 생각하지만 내부 행위자는 여전히 사례의 비율이 높은 고용주에 대해 직접 조치를 취하고 있습니다. 사람들이 해당 데이터에 액세스해야하는 합법적 인 이유가있을 수 있기 때문에 이러한 정보를 보호하기가 더 어려운 경우도 있습니다. 그 중 절반은 43 %가 어떤 의미에서 우연한 손실이었다. 예를 들어, 누군가가 데이터를 집으로 가져간 다음 그 데이터를 잃어버린 경우, 이 세 번째 요점으로 연결됩니다. 즉, 물리적 미디어에 대한 정보는 여전히 40 %의 침해와 관련이있었습니다. 그래서 그것은 USB 키, 즉 사람들의 랩탑입니다. 그것은 실제 디스크에 불을 붙여 건물에서 꺼낸 실제 미디어입니다.
당신이 생각한다면, 당신은 자신의 랩톱에 프로덕션 데이터베이스의 개발자 사본을 가지고있는 개발자가 있습니까? 그런 다음 비행기를 타고 비행기에서 내리고 위탁 수하물을 가져오고 랩탑을 도난당했습니다. 데이터 유출이 발생했습니다. 당신은 반드시 그 이유는 그 노트북이 찍은 이유라고 생각하지 않을 수 있습니다, 그것은 야생에서 나타나지 않을 수 있습니다. 그러나 그것은 여전히 위반으로 간주되는 것이기 때문에 공개가 필요할 것입니다. 물리적 매체의 손실로 인해 데이터를 잃어버린 모든 다운 스트림 효과가 나타납니다.
그리고 또 다른 흥미로운 점은 많은 사람들이 신용 데이터와 신용 카드 정보를 가장 가치있는 것으로 생각하지만 더 이상 사실이 아닙니다. 이 데이터는 가치가 있고 신용 카드 번호는 유용하지만 솔직히 그 숫자는 매우 빠르게 변경되는 반면 사람들의 개인 데이터는 매우 빠르게 변경되지 않습니다. 장난감 제조업체 인 VTech의 최근 뉴스 항목에는 어린 이용으로 설계된 장난감이 있습니다. 그리고 사람들은 아이들의 이름을 갖고 아이들의 거주지, 부모의 이름, 아이들의 사진을 가지고 있습니다. 중요하지 않은 것으로 간주되어 암호화 된 것은 없습니다. 그러나 암호는 암호화되었습니다. 위반이 불가피하게 발생했을 때, "알겠습니다. 그래서 아이들의 이름, 부모의 이름, 그들이 살고있는 곳의 목록이 있습니다.이 모든 정보가 저기에 있습니다. 그리고 당신은 암호를 생각하고 있습니다." 그것의 가장 귀중한 부분 이었습니까?” 사람들은 자신의 개인 데이터, 주소 등에 관한 측면을 변경할 수 없습니다. 따라서 정보는 실제로 매우 가치가 있으며 정보를 보호해야합니다.
따라서 현재 데이터 유출이 발생하는 방식에 기여하기 위해 진행중인 작업에 대해 이야기하고 싶었습니다. 큰 핫스팟 중 하나 인 현재 공간은 사회 공학입니다. 따라서 사람들은 피싱이라고 부르고 가장도 있습니다. 사람들이 종종 내부 행위자를 통해 데이터에 액세스 할 수 있도록하는 것입니다. 며칠 전에 Google 문서 도구 웜이 발생했습니다. 그리고 어떻게되는지 – 실제로 사본을 받았지만, 클릭하지는 않았지만 동료로부터 이메일을 받고있었습니다.“Google 문서 링크가 있습니다. 내가 방금 공유 한 내용을 보려면이 항목을 클릭해야합니다.”글쎄요, Google 문서 도구를 사용하는 조직에서는 매우 일반적이며 하루에 수십 건의 요청을 받게됩니다. 당신이 그것을 클릭하면, 그것은 당신에게이 문서에 접근 할 수있는 허가를 요구할 것이고, 아마도 당신은 말할 것입니다, “이봐, 조금 이상해 보이지만, 그것은 합법적으로 보입니다. 클릭하면 바로이 제 3 자에게 모든 Google 문서에 대한 액세스 권한을 부여하고이 외부 행위자가 Google 드라이브의 모든 문서에 액세스 할 수 있도록이 링크를 만듭니다. 이것은 모든 곳에서 웜되었습니다. 몇 시간 만에 수십만 명의 사람들을 때렸습니다. 그리고 이것은 기본적으로 Google 자체가 매우 잘 실행 되었기 때문에 종료해야하는 피싱 공격이었습니다. 사람들은 그것을 위해 떨어졌다.
여기 SnapChat HR 위반에 대해 언급합니다. 이것은 누군가가 이메일을 보내거나 CEO임을 가장하고 HR 부서에 이메일을 보내면서“이 스프레드 시트를 보내줘야합니다.”라고 말한 간단한 문제였습니다. 그리고 그들은 그들을 믿고 700 명의 직원이있는 스프레드 시트를 넣었습니다. '보상 정보, 집 주소 등을이 상대방에게 이메일로 보냈는데 실제로 CEO가 아니 었습니다. 이제 데이터가 유출되었고 모든 직원의 개인 정보가 유출되어 악용 될 수있었습니다. 따라서 사회 공학은 데이터베이스 세계에서 언급 한 것입니다. 왜냐하면 이것은 교육을 통해 방어하려고 할 수있는 것이기 때문입니다. 그러나 기술과 상호 작용하는 사람이있는 곳이라면 어디에서나 기억해야합니다. 정전을 막기 위해 그들의 올바른 판단에 의존하고 있다면 많은 것을 요구하고 있습니다.
사람들은 실수를 저지르고, 가지고 있지 않은 것들을 클릭하며, 사람들은 영리한 속임수로 넘어집니다. 그리고 그것들을 보호하기 위해 매우 열심히 노력할 수는 있지만 충분히 강하지는 않습니다. 사람들이 데이터베이스 시스템에서이 정보를 실수로 제공하는 능력을 제한해야합니다. 분명히 우리가 많이 이야기하고있는 것은 랜섬웨어, 봇넷, 바이러스입니다. 랜섬웨어에 대해 이해하는 것이 중요하다고 생각하는 것은 실제로 공격자의 수익 모델을 바꾸는 것입니다. 위반에 대해 이야기하는 경우 데이터를 추출하여 자체적으로 사용하여 사용해야합니다. 데이터가 불분명 한 경우, 암호화 된 경우, 산업별 데이터 인 경우 가치가없는 것일 수 있습니다.
이 시점까지 사람들은 자신을 보호한다고 생각했을 수도 있습니다.“데이터 유출로부터 자신을 보호 할 필요는 없습니다. 왜냐하면 그들이 시스템에 들어가면 그들이 가질 모든 것이기 때문입니다. 저는 사진 스튜디오이고 내년에는 어떤 날에 올 사람이 있을지 목록을 가지고 있습니다. 누가 그 일에 관심이 있습니까?”글쎄, 당신이 그 일에 관심을 갖는 것이 정답입니다. 그 정보를 저장하는 것은 비즈니스에 중요한 정보입니다. 따라서 랜섬웨어를 사용하여 공격자는 "글쎄, 아무도 나에게 돈을주지 않을 것이지만, 그렇게 할 것입니다."라고 말합니다. 따라서 그들은 데이터를 가져 오지 않아도된다는 사실을 이용합니다. 보안 침해를 당하지 않아도 보안 도구를 사용해야합니다. 그들은 데이터베이스에 들어가서 그 내용을 암호화 한 다음에 이렇게 말합니다.“좋아요, 우리는 암호를 가지고 있습니다. 그리고 그 암호를 얻으려면 5 천 달러를 지불해야합니다. 그렇지 않으면 이 데이터는 더 이상 없습니다.”
사람들은 돈을 지불합니다. 그들은 스스로 그렇게해야한다는 것을 알게됩니다. MongoDB는 몇 달 전에 큰 문제가 있었는데, 1 월에 랜섬웨어가 발생했을 때 일부 기본 설정을 기반으로 인터넷에 공개 된 백만 개 이상의 MongoDB 데이터베이스가 있다고 생각합니다. 더 나쁜 것은 사람들이 돈을 지불하고 있기 때문에 다른 조직이 들어 와서 다시 암호화하거나 원래 그것을 암호화 한 사람이라고 주장하기 때문에 돈을 지불했을 때 나는 그들이 사람들은 500 달러와 같은 것을 요구하면서 다음과 같이 말할 것입니다. 나는 단지 500 달러를 지불 할 것입니다.”그리고 그들은 올바른 행위자에게 지불하지도 않았기 때문에 10 개의 다른 조직에“우리는 암호를 얻었습니다”또는“우리는 랜섬 데이터의 잠금을 해제 할 수있는 길을 찾았습니다.”그리고 데이터가 제대로 작동하려면 모든 데이터를 지불해야합니다.
랜섬웨어 제작자들이 버그를 겪은 경우도 있었는데, 우리는 그 상황이 완벽하게 상회하는 상황에 대해 이야기하고 있지 않기 때문에 일단 공격을 받았을 때, 심지어 지불을 한 후에도 당신이 보장한다고 보장 할 수는 없습니다 모든 데이터를 다시 가져 오려면 InfoSec 도구로 인해 일부가 복잡해집니다. 따라서 Shadow Brokers는 NSA의 도구를 유출하고있는 그룹입니다. 간첩 목적으로 정부 기관이 설계 한 도구였으며 실제로는 다른 정부 기관과 협력했습니다. 이들 중 일부는 기본적으로 알려진 보안 프로토콜을 제쳐 놓는 높은 프로파일 제로 데이 공격이었습니다. 예를 들어, 최근 Shadow Brokers의 덤프 중 하나에서 SMB 프로토콜에 큰 취약점이있었습니다.
그리고 여기 나오는 도구들은 몇 시간 만에 공격 표면과 관련하여 실제로 게임을 바꿀 수 있습니다. 따라서 내가 생각할 때마다 조직 차원에서 보안 InfoSec 자체 기능이므로 심각하게 고려해야합니다. 우리가 데이터베이스에 대해 이야기 할 때마다, 나는 약간 아래로 내려갈 수 있습니다. 당신은 데이터베이스 관리자로서 이번 주에 Shadow Brokers에 무슨 일이 일어나고 있는지 완전히 이해할 필요는 없지만, 모든 것을 알고 있어야합니다. 이러한 것들이 변화하고 있고, 일이 진행되고 있으며, 여러분의 도메인을 엄격하고 안전하게 유지하는 정도에 따라, 당신의 물건이 당신 밑에서 찢어 질 때 도움이 될 것입니다.
따라서 SQL Server에 대해 구체적으로 이야기하기 전에 데이터베이스 보안과 관련된 몇 가지 고려 사항에 대해 패널 멤버와 실제로 논의하기 위해 잠시 시간을 내고 싶었습니다. 지금까지 언급 한 내용 중 일부는 SQL 주입에 대해 벡터로 이야기하고 싶었습니다. 따라서 이것은 SQL 인젝션이며, 사람들이 입력을 변형하여 데이터베이스 시스템에 명령을 삽입하는 방식입니다.
에릭 카바나 흐 : 예, 저는 실제로 한 남자를 만났습니다 – 5 년 전 앤드류 공군 기지에 있었다고 생각합니다 – 컨설턴트는 복도에서 그와 이야기를 나 that 던 컨설턴트 였고 우리는 단지 전쟁 이야기를 나누었습니다. – 그는 자신이 군대에서 상당히 높은 순위의 회원과상의하기 위해 누군가가 데려 왔으며 그 사람이 그에게 물었습니다. "음, 당신이하는 일을 잘하는지 어떻게 알 수 있습니까?" . 그가 컴퓨터에서 사용한 대화를 나누면서 네트워크에 접속 한 후 SQL 인젝션을 사용하여 해당 기지와 그 사람들의 전자 메일 레지스트리에 들어갔습니다. 그리고 그는 자신이 말하고있는 사람의 이메일을 발견하고 그의 컴퓨터에 그의 이메일을 보여줬습니다! 그리고 그 사람은“어떻게 했어요?”라고 말했습니다.“글쎄, SQL 인젝션을 사용했습니다.”
5 년 전만해도 공군 기지에 있었죠? 문맥 상이 점은 여전히 현실적이며 정말 무서운 효과와 함께 사용될 수 있습니다. 로빈이 그 주제에 관해 가지고있는 전쟁 이야기를 알고 싶어하지만, 이 모든 기술은 여전히 유효합니다. 그들은 여전히 많은 경우에 사용되고 있으며, 그것은 자신을 교육시키는 문제입니다.
로빈 블로어 : 네. 예, 작업을 수행하여 SQL 삽입을 방어 할 수 있습니다. 아이디어가 발명되고 처음 확산되었을 때 이유를 이해하는 것은 쉽습니다. 웹 페이지의 입력 필드에 입력하여 데이터를 반환하거나 얻을 수 있기 때문에 아이디어가 왜 그렇게 성공적인지 이해하기 쉽습니다. 데이터베이스에서 데이터를 삭제하거나 다른 작업을 수행하기 위해 SQL 코드를 삽입하면됩니다. 그러나 나에게 관심이있는 것은 입력 한 모든 데이터에 대해 약간의 구문 분석을 수행해야하지만 누군가가 그렇게하려고 시도한다는 것을 알 수 있다는 것입니다. 그리고 그것은 정말로, 나는 사람들이 여전히 그것과 함께 도망 가기 때문에, 그것이 그렇게 싸울 수있는 쉬운 방법이 없었다는 것이 정말 이상하다는 것을 의미합니다. 아시다시피, 모든 사람들이 쉽게 사용할 수 있다는 것을 알고 있습니다. Vicky는 없었습니다.
Vicky Harp : 실제로 SQL Azure와 같은 일부 인질 솔루션은 머신 러닝을 기반으로하는 아주 좋은 탐지 방법이 있다고 생각합니다. 그것은 아마도 우리가 미래에 보게 될 것입니다. 하나의 크기로 모든 것을 맞추려고 시도하는 것입니다. 대답은 하나의 크기가 모두 맞는 것은 아니라고 생각하지만 크기가 무엇인지 알 수 있고 맞는지 확인하는 기계가 있습니다. 따라서 오 탐지가 발생하면 실제로 비정상적인 작업을 수행하기 때문이 아니라 응용 프로그램이 수행 할 수있는 모든 작업을 수행하고 힘들게 식별해야하기 때문이 아닙니다.
실제로 여전히 많은 이유 중 하나는 사람들이 여전히 타사 응용 프로그램에 의존하고 ISV의 응용 프로그램과 시간이 지남에 따라 응용 프로그램이 지워지기 때문이라고 생각합니다. 2001 년에 작성된 엔지니어링 응용 프로그램을 구입 한 조직에 대해 이야기합니다. 그 이후로 주요 기능 변경이 없었으며 원래 작성자는 일종이기 때문에 업데이트하지 않았습니다. 이들은 엔지니어가 아니었고 데이터베이스 보안 전문가가 아니 었으며 응용 프로그램에서 올바른 방식으로 작업을 수행하지 않았으며 벡터가되었습니다. 내 이해는 – 그것이 목표 데이터 유출이라고 생각하는 것입니다. 정말로 큰 것은 – 공격 벡터가 공조 공급 업체 중 하나를 통한 것이 었습니까? 따라서 제 3 자의 문제는 자신의 개발 상점을 소유하고 있다면 이러한 규칙 중 일부를 제자리에두고 일반적으로 수행 할 수 있습니다. 조직 으로서는 서로 다른 모든 프로파일을 가진 수백 또는 수천 개의 애플리케이션이 실행 중일 수 있습니다. 나는 그것이 머신 러닝이 와서 우리를 많이 도울 수있는 곳이라고 생각합니다.
나의 전쟁 이야기는 교육 생활이었습니다. 나는 SQL 주입 공격을 보게되었고, 결코 일어나지 않은 것은 읽기 쉬운 일반 SQL을 사용한다는 것입니다. 난독 화 된 P SQL 휴일 카드라고하는 일을합니다. 나는이 SQL을 가능한 한 혼란스럽게 보이게합니다. 현재 수십 년 동안 진행된 C ++ 코드 컨테스트가 난독 화되었으며, 같은 생각입니다. 따라서 실제로 얻은 것은 열린 문자열 필드에있는 SQL 주입, 문자열을 닫고 세미콜론을 넣은 다음 일련의 숫자가있는 exec 명령을 넣은 다음 기본적으로 캐스팅 명령을 사용하여 해당 숫자를 이진수로 캐스트 한 다음 차례로 문자 값으로 캐스트 한 다음 실행합니다. 따라서“생산 테이블에서 시작 삭제”라는 내용을 실제로 보는 것은 아닙니다. 실제로 숫자 필드에 채워져보기가 훨씬 어려워졌습니다. 그리고 일단 당신이 그것을보고, 무슨 일이 있었는지 식별하기 위해, 실제 SQL 샷이 필요했고, 무슨 일이 있었는지, 물론 작업이 이미 완료된 시간을 파악할 수있었습니다.
Robin Bloor : 해킹 세계 전체에서 발생하는 현상 중 하나는 누군가가 약점을 발견하여 일반적으로 판매되는 소프트웨어에있을 수 있다는 것입니다. 초기 문제 중 하나는 데이터베이스를 설치할 때 제공 한 데이터베이스 암호, 실제로는 많은 데이터베이스가 기본값이었습니다. 그리고 많은 DBA가 단순히 변경 한 적이 없으므로 네트워크에 접속할 수 있습니다. 당신은 그 암호를 시험해 볼 수 있고 그것이 효과가 있다면, 당신은 복권에 당첨되었습니다. 흥미로운 점은 모든 정보가 다크 넷 웹 사이트의 해킹 커뮤니티에 매우 효율적이고 효과적으로 배포된다는 것입니다. 그리고 그들은 알고 있습니다. 그래서 그들은 거기에있는 것들을 거의 쓸어 낼 수 있고 인스턴스를 찾은 다음 해킹 익스플로잇을 자동으로 던질 수 있습니다. 그리고 적어도 안에있는 많은 사람들이 이 모든 것의 주변부, 실제로 해킹 네트워크가 취약성에 얼마나 빨리 대응하는지 이해하지 못합니다.
Vicky Harp : 예, 실제로 제가 언급하기 전에 언급하고 싶은 또 다른 내용을 제시합니다. 이것은 자격 증명을 채우는 개념입니다. 모든 사이트에서 해당 자격 증명을 전체적으로 재사용하려고 시도합니다. 따라서 중복 암호를 사용하는 경우, 예를 들어 사용자가 그런 식으로 설정해도 완전히 유효한 자격 증명 집합으로 보이는 것을 통해 누군가가 액세스 할 수 있습니다. 아마존과 은행에서 동일한 비밀번호를 사용했고 포럼에서도 포럼 소프트웨어가 해킹 당했다고 가정 해 보겠습니다. 사용자 이름과 비밀번호가 있습니다. 그런 다음 Amazon에서 동일한 사용자 이름을 사용하거나 은행에서이를 사용할 수 있습니다. 그리고 은행에 관한 한, 그것은 완전히 유효한 로그인이었습니다. 이제 완전히 승인 된 액세스를 통해 악의적 인 조치를 취할 수 있습니다.
그래서 그 종류의 내부 침입과 내부 사용법에 대해 다시 한 번 이야기합니다. 조직 내에서 외부 액세스를 위해 사용하는 내부 액세스에 동일한 비밀번호를 사용하는 사람들이있는 경우 다른 사람이 침입 한 다른 사이트를 통해 누군가가 들어 와서 자신을 가장 할 가능성이 있습니다. 몰라요 그리고이 데이터는 매우 빠르게 전파됩니다. 나는 Troy Hunt가“내가 소유 한”가장 최근의 부하라고 생각합니다. 그는 50 억 세트의 자격 증명을 가지고 있다고 말했습니다. 그것은 여러분이 지구상의 사람들의 수를 고려한다면 – 그것은 자격 증명 소에 사용할 수있는 수많은 자격 증명이 있습니다.
그래서 조금 더 깊이 들어가서 SQL Server 보안에 대해 이야기하겠습니다. 이제 20 분 안에 SQL Server를 보호하기 위해 알아야 할 모든 것을 제공하지는 않겠다고 말하고 싶습니다. 그것은 약간 키가 큰 것 같습니다. 따라서 시작하기 위해 온라인에 그룹과 온라인 리소스가 있다고 확신하고 싶습니다. 확실히 Google에 대한 서적, Microsoft에 대한 모범 사례 문서, SQL Server의 전문 직원을위한 보안 가상 장이 있습니다. 그들은 security.pass.org에 있으며 매달 웹 캐스트와 웹 캐스트 녹화를 통해 SQL Server 보안을 수행하는 실제적이고 심층적 인 방법을 살펴볼 것입니다. 그러나 이것들은 데이터 전문가, IT 전문가, DBA와 같은 SQL Server 보안에 대해 알아야 할 사항 중 일부입니다.
첫 번째는 물리적 보안입니다. 따라서 앞서 언급 한 것처럼 물리적 미디어를 훔치는 것은 여전히 흔합니다. 그리고 내가 dev 머신에했던 시나리오, dev 머신에 데이터베이스 사본이 도난당했습니다. 이것은 매우 일반적인 벡터입니다.이 벡터는 여러분이 알고 알아야 할 조치입니다. 백업 보안의 경우에도 마찬가지이므로 데이터를 백업 할 때마다 데이터를 암호화해야하며 안전한 위치에 백업해야합니다. 많은 경우 데이터베이스에서 실제로 보호 된이 데이터는 주변 위치, 개발 시스템, 테스트 시스템에 들어가기 시작하자마자 패치에 대해 조금 덜주의를 기울이고 조금 더 적습니다. 그것에 접근하는 사람들에 대해 조심하십시오. 다음으로 알 수 있듯이 조직의 공개 공유에 암호화되지 않은 데이터베이스 백업이 저장되어 많은 사람들이 이용할 수 있습니다. 그렇다면 물리적 보안에 대해 생각하고 간단하게 누군가가 USB 키를 서버에 넣을 수 있습니까? 당신은 그것을 허용해서는 안됩니다.
다음으로 생각해야 할 것은 플랫폼 보안, 최신 OS, 최신 패치입니다. 이전 버전의 Windows, 이전 버전의 SQL Server에 대해 이야기하는 사람들의 이야기를 듣는 것은 매우 귀찮습니다. 유일한 비용은 라이센스 업그레이드 비용이며, 그렇지 않다고 생각합니다. 우리는 안전을 지니고 있으며, 계속 언덕을 내려가는 개울입니다. 이 경우 Microsoft와 다른 그룹은 오래된 시스템을 특정 시점으로 업데이트하고 결국 지원이 중단되고 더 이상 업데이트되지 않을 것입니다. 유지.
따라서 지원되는 OS를 사용하고 패치를 최신 상태로 유지해야하며, 최근 Shadow Brokers에서와 같이 발견 한 경우도 있습니다. 일부 경우 Microsoft는 향후 주요 보안 침해에 대한 통찰력을 얻을 수 있습니다. 공개하기 전에 공개되기 때문에 모든 순서가 왜곡되지 않도록하십시오. 차라리 다운 타임이 아니라 각각 기다렸다가 읽어보고 결정합니다. 이 패치가 발생한 이유를 찾은 후 몇 주가 지나야 그 값이 얼마인지 알 수 없습니다. 따라서 그 위에 머물러 있어야합니다.
방화벽이 구성되어 있어야합니다. 방화벽이 인터넷에 완전히 개방 된 상태에서 이전 버전의 SQL Server를 실행하는 사람들이 SNB를 위반 한 것은 충격적이었습니다. 방화벽을 사용해야합니다. 때때로 규칙을 구성하거나 비즈니스를 수행하는 방식에 대해 특정 예외를 만들어야한다는 사실은 괜찮은 가격입니다. 데이터베이스 시스템의 노출 영역을 제어해야합니다. 동일한 시스템에 IIS와 같은 서비스 또는 웹 서버를 공동 설치합니까? 동일한 디스크 공간을 공유하고 데이터베이스 및 개인 데이터와 동일한 메모리 공간을 공유합니까? 그렇게하지 말고, 분리하고, 표면적을 작게 유지하여 데이터베이스의 모든 부분을 안전하게 유지하는 것에 대해 걱정할 필요가 없습니다. 당신은 물리적으로 그것들을 분리하고, 플랫폼을 분리하고, 분리하고, 호흡 공간을 조금 줄 수 있습니다.
모든 데이터에 액세스 할 수있는 모든 곳에서 최고 관리자가 실행되어서는 안됩니다. OS 관리자 계정은 암호화를 통해 데이터베이스 또는 데이터베이스의 기본 데이터에 액세스 할 필요는 없습니다. 그리고 데이터베이스 파일에 액세스하려면이를 제한해야합니다. 누군가가 데이터베이스를 통해 이러한 데이터베이스에 액세스 할 수 없다는 것은 어리석은 일입니다. SQL Server 자체는 액세스 할 수 없지만 실제 MDF 파일의 사본을 가져 와서 단순히 이동하여 자신의 SQL Server에 첨부하면 실제로 달성하지 못했습니다. 많은.
암호화, 암호화는 유명한 양방향 검입니다. OS 수준에서 수행 할 수있는 다양한 수준의 암호화가 있으며 SQL 및 Windows에 대한 현대적인 작업 방식은 BitLocker를 사용하며 데이터베이스 수준에서는 TDE 또는 투명한 데이터 암호화라고합니다. 따라서 두 가지 방법 모두 데이터를 암호화 된 상태로 유지합니다. 데이터를보다 포괄적으로 암호화하려면 암호화 할 수 있습니다. 죄송합니다. 암호화 된 연결을 사용하여 전송 중일 때 누군가가 수신 대기 중이거나 공격 중에 사람이있는 경우 유선을 통해 해당 데이터를 보호 할 수 있도록 암호화되어 있습니다. 내가 말했듯이 백업은 다른 사람이 액세스 할 수있을 수 있습니다. 메모리에서 암호화하고 싶을 때 열 암호화를 사용하면 SQL 2016에는 항상 " 암호화 됨”실제로 디스크, 메모리, 유선에서 실제로 데이터를 사용하는 응용 프로그램까지 암호화됩니다.
이제이 모든 암호화는 무료가 아닙니다. CPU 오버 헤드가 있으며, 때로는 열 암호화 및 항상 암호화 된 경우가 있으며, 해당 데이터를 검색 할 수있는 능력 측면에서 성능에 영향을 미칩니다. 그러나이 암호화는 올바르게 결합되면 누군가가 귀하의 데이터에 액세스 할 수 있다면 손상을 입을 수 있었고 그로 인해 아무것도 할 수 없기 때문에 피해가 크게 줄어 듭니다. 그러나 이것은 랜섬웨어가 작동하는 방식이기도합니다. 누군가 자신의 인증서 나 자신의 암호를 사용하여 이러한 항목을 가져 와서 켤 수 있으며 액세스 할 수 없습니다. 그렇기 때문에이 작업을 수행하고 액세스 할 수 있지만 다른 사람과 공격자가 할 수있는 일을 제공하지 않는 것이 중요합니다.
그런 다음 보안 원칙 –이 시점에서는 작업하지 않겠지 만 SQL Server에서 모든 사용자가 최고 관리자로 실행되는 것은 아닙니다. 개발자가 원할 수도 있고, 다른 사용자가 원할 수도 있습니다. 개별 항목에 대한 액세스를 요청해야하는 좌절감이 있습니다.하지만 부지런해야하며, 더 복잡 할 수 있지만 개체에 대한 액세스 권한을 부여하고 진행중인 작업에 유효한 데이터베이스와 스키마, 특별한 경우가있을 수 있습니다. 특별한 로그인을 의미 할 수도 있습니다. 이는 일반적인 사례 사용자에게 반드시 권한 상승을 의미하지는 않습니다.
그리고 규제 준수 고려 사항이 여기에 있으며 일부 경우에는 실제로 자체 방식으로 진행될 수 있습니다. 따라서 HIPAA, SOX, PCI가 있습니다. 이러한 모든 고려 사항이 있습니다. 또한 감사를 진행할 때이를 준수하기 위해 조치를 취하고 있음을 보여 주어야합니다. 그래서, 이것은 추적해야 할 일입니다 .DBA 할 일 목록이라고 말하면 보안 실제 암호화 구성을 보장하려고합니다. 데이터에 대한 액세스가 감사되고 있는지 확인하려고합니다. 규정 준수 목적을 위해 민감한 열이 무엇인지, 어디에 있는지, 암호화하고 액세스해야하는 열을 알고 있는지 확인하십시오. 구성이 적용되는 규정 지침과 일치하는지 확인하십시오. 그리고 상황이 변함에 따라이 모든 것을 최신 상태로 유지해야합니다.
그래서, 그것은 할 일이 많기 때문에 그냥 그대로두면 가겠다 고 말할 것입니다. 그러나이를위한 여러 가지 도구가 있으므로, 마지막 몇 분 안에 IDERA에서 가지고있는 몇 가지 도구를 보여 드리고자합니다. 오늘 말씀 드리고 싶은 두 가지는 SQL Secure와 SQL Compliance Manager입니다. SQL Secure는 구성 취약점의 종류를 식별하는 데 도움이되는 도구입니다. 보안 정책, 사용자 권한, 노출 영역 구성 또한 다양한 규제 프레임 워크를 준수하는 데 도움이되는 템플릿이 있습니다. 그 자체로, 마지막 줄은 사람들이 그것을 고려하는 이유 일 수 있습니다. 이러한 다양한 규정을 읽고 PCI가 의미하는 바를 식별 한 다음 PCI를 상점의 SQL Server로 가져 가면 많은 작업이 필요합니다. 그것은 당신이 할 많은 컨설팅 비용을 지불 할 수있는 것입니다. 우리는 컨설팅을 해왔고, 다른 감사 회사들과 협력하여 템플릿이 무엇인지 확인하기 위해 노력했습니다. 템플릿이있는 경우 감사를 통과 할 수있는 것입니다. 그런 다음 해당 템플릿을 사용하여 환경에서 볼 수 있습니다.
또한 SQL Compliance Manager 형식의 또 다른 종류의 자매 도구가 있으며 이는 SQL Secure가 구성 설정에 관한 것입니다. SQL Compliance Manager는 누가 언제 무엇을했는지 확인하는 것입니다. 감사 기능이므로 발생하는 활동을 모니터링하고 사물에 누가 액세스하고 있는지 감지하고 추적 할 수 있습니다. 유명인이 당신의 병원에 입원 한 예가 누군가 누군가 호기심 때문에 정보를 찾고 있었습니까? 그들은 그렇게 할 이유가 있었습니까? 감사 히스토리를보고 무슨 일이 있었는지, 누가 그 레코드에 액세스했는지 볼 수 있습니다. 또한 민감한 열을 식별하는 데 도움이되는 도구가 있음을 확인할 수 있으므로 반드시 직접 읽고 수행 할 필요는 없습니다.
따라서 몇 분 안에이 도구 중 일부를 보여 드리도록하겠습니다. 자세한 데모로 생각하지 마십시오. 저는 영업 엔지니어가 아닌 제품 관리자이므로이 토론과 관련이 있다고 생각되는 것들 중 일부를 보여 드리겠습니다. 이것이 바로 우리의 SQL Secure 제품입니다. 여기 보시다시피이 고급 보고서 카드가 있습니다. 나는 이것을 어제 생각했다. 그리고 그것은 올바르게 설정되지 않은 것들과 올바르게 설정 된 것들을 보여줍니다. 우리가 여기서 한 100 가지가 넘는 수표가 있다는 것을 알 수 있습니다. 그리고 내가하고있는 백업에 대한 백업 암호화, 백업 암호화를 사용하지 않았 음을 알 수 있습니다. "SA 계정"이라는 이름의 내 SA 계정은 비활성화되거나 이름이 변경되지 않습니다. 퍼블릭 서버 역할에는 권한이 있으므로 변경을 원할 수 있습니다.
여기에 정책이 설정되어 있으므로 새 정책을 설정하고 서버에 적용하려면 이러한 기본 제공 정책이 모두 있습니다. 따라서 기존 정책 템플릿을 사용하고 CIS, HIPAA, PCI, SR이 있고 계속 진행되고 있음을 알 수 있으며 실제로 현장에서 사람들이 필요로하는 사항을 기반으로 추가 정책을 지속적으로 추가하는 과정에 있습니다. . 또한 새 정책을 만들 수도 있으므로 감사자가 무엇을 찾고 있는지 아는 경우 직접 만들 수 있습니다. 그리고 나서 그렇게 할 때, 서로 다른 설정 중에서 선택할 수 있습니다. 어떤 설정을해야하는 경우가 있습니다. 어떤 경우에는 미리 설정 한 것 중 하나를 찾도록하겠습니다. 이것은 편리합니다. HIPAA를 선택할 수 있습니다. 이미 HIPAA를 가지고 있습니다. 나쁜 PCI입니다. 여기를 클릭하면 실제로는 섹션의 외부 상호 참조를 볼 수 있습니다. 이 관련 규제. 내가 왜 이것을 설정하는지 알아 내려고 할 때 나중에 도움이 될 것입니다. 왜 이것을 보려고합니까? 이것은 어떤 섹션과 관련이 있습니까?
여기에는 사용자를 방문하고 탐색 할 수있는 유용한 도구가 있으므로 사용자 역할을 탐색하는 데있어 까다로운 점 중 하나는 실제로 여기서 살펴 보겠습니다. 따라서 내 권한을 표시하면 여기에서 사용자를 선택하겠습니다. 권한 표시 이 서버에 할당 된 권한을 볼 수 있지만 여기를 클릭하여 유효 권한을 계산하면 다음을 기반으로 전체 목록을 제공 할 수 있습니다. 따라서이 경우에는 관리자이므로 흥미롭지는 않지만 다른 사용자를 통해 선택하여 그들이 속한 그룹에 따라 효과적인 권한이 무엇인지 확인할 수 있습니다. 이 작업을 직접 수행하려는 경우 실제로 번거로울 수 있습니다.이 사용자는 이러한 그룹의 구성원이므로 그룹을 통해 이러한 일에 액세스 할 수 있습니다.
따라서이 제품이 작동하는 방식은 스냅 샷을 생성하는 것이므로 서버 스냅 샷을 정기적으로 생성하는 프로세스는 그리 어렵지 않으며 시간이 지남에 따라 스냅 샷을 유지하여 변경 사항을 비교할 수 있습니다. 따라서 이는 성능 모니터링 도구와 같은 전통적인 의미에서 지속적인 모니터링이 아닙니다. 이것은 일주일에 한 번, 일주일에 한 번 실행되도록 설정했을 수도 있습니다. 그러나 종종 타당하다고 생각합니다. 따라서 분석을 수행하고 조금 더 일을 할 때마다 실제로 우리 도구 내에서 일하는 것입니다. 서버에 너무 많이 연결하지 않기 때문에 이러한 정적 설정을 준수하기위한 매우 유용한 도구입니다.
제가 보여 드리고 싶은 다른 도구는 규정 준수 관리자 도구입니다. 규정 준수 관리자는보다 지속적인 방식으로 모니터링 할 것입니다. 그리고 누가 서버에서 무엇을하고 있는지 볼 수 있으며, 그것을 볼 수 있습니다. 그래서 지난 몇 시간 동안 내가 여기서 한 일은 실제로 약간의 문제를 만들려고 노력했습니다. 그래서 여기에 문제가 있는지 여부가 있습니다. 누군가가 실제로 로그인을 생성하여 서버 역할에 추가했습니다. 따라서 들어가서 살펴보면 알 수 있습니다. 마우스 오른쪽 단추로 클릭 할 수없는 것 같습니다. 진행 상황을 확인할 수 있습니다. 그래서 이것은 내 대시 보드이며 오늘 조금 일찍 로그인에 실패했습니다. 많은 보안 활동, DBL 활동이있었습니다.
감사 이벤트로 가서 살펴 보겠습니다. 여기에는 범주 및 대상 개체별로 감사 이벤트가 그룹화되어 있으므로 이전부터 해당 보안을 살펴보면 DemoNewUser를 볼 수 있습니다.이 서버 로그인 생성이 발생했습니다. 그리고 로그인 SA가 오후 2시 42 분에이 DemoNewUser 계정을 생성 한 것을 확인할 수 있습니다. 그런 다음 서버에 로그인을 추가하면이 DemoNewUser가 서버 관리자 그룹에 추가 된 것을 볼 수 있습니다. 설치 관리자 그룹은 sysadmin 그룹에 추가되었습니다. 이것이 제가 알고 싶었던 일입니다. 또한 테이블의 민감한 열을 추적하여 누가 액세스했는지 볼 수 있도록 설정했습니다.
여기에 Adventure Works의 개인 테이블에서 발생한 몇 가지 선택 항목이 있습니다. 그리고 Adventure Works 테이블의 SA 사용자가 사람 점 사람 중 상위 10 위를 차지한 것을 볼 수 있습니다. 어쩌면 내 조직에서 사람들이 사람 점 사람에서 별을 선택하는 것을 원하지 않거나 특정 사용자 만 그렇게 할 것으로 기대하므로 여기에서 이것을 볼 것입니다. 따라서 감사 측면에서 필요한 것은 프레임 워크를 기반으로 설정 될 수 있으며 이는 좀 더 집중적 인 도구입니다. 버전에 따라 SQL Trace 또는 SQLX 이벤트를 사용하고 있습니다. 그리고 그것은 당신이 수용하기 위해 당신의 서버에 약간의 헤드 룸을 가져야 할 것이지만, 그것은 보험과 같은 것들 중 하나입니다. 우리가 자동차 보험을 가지고 있지 않아도 좋을 것입니다. 우리가 가져갈 필요가없는 비용 – 그러나 누가 무엇을하고 있는지를 추적해야하는 서버가 있다면 약간의 여유 공간과 이와 같은 도구가 필요할 수 있습니다. 당사의 툴을 사용하든 스스로 롤링하든 궁극적으로 규제 준수 목적으로이 정보를 보유 할 책임이 있습니다.
내가 말했듯이, 심층적 인 데모가 아니라 빠르고 간단한 요약입니다. 또한이 SQL 열 검색 형식으로 빠르고 작은 도구를 보여 드리고자합니다.이 도구는 환경에서 중요한 정보로 보이는 열을 식별하는 데 사용할 수있는 도구입니다. 그래서 우리는 일반적으로 민감한 데이터를 포함하는 다른 열 이름을 찾는 여러 검색 구성을 가지고 있으며 식별 된 전체 목록을 얻었습니다. 120 개를 가지고 있고 여기에 그것들을 내 보내서 사용하기 위해 사용할 수 있도록하겠습니다. 중간 이름, 한 사람 점 사람 또는 판매 세에 대한 액세스를 추적하고 있는지 확인하십시오. 요금 등
나는 우리가 여기의 시간이 끝날 무렵에 가고 있다는 것을 안다. 그리고 그것이 제가 실제로 보여 드린 전부입니다. 질문이 있으십니까?
에릭 카바나 : 나는 당신을 위해 좋은 몇 가지가 있습니다. 여기 위로 스크롤하겠습니다. 참석자 중 한 명이 정말 좋은 질문을했습니다. 그 중 하나는 성능 세에 대해 묻는 것이므로 솔루션마다 다릅니다. 그러나 IDERA 보안 도구를 사용하기위한 성능 세에 대한 일반적인 아이디어가 있습니까?
Vicky Harp : SQL Secure에서 말했듯이 매우 낮습니다. 가끔 스냅 샷을 찍을뿐입니다. 또한 자주 실행하더라도 설정에 대한 정적 정보를 얻으므로 매우 낮고 거의 무시할 수 있습니다. 준수 관리자 측면에서 볼 때
에릭 카바나 흐 : 1 %?
Vicky Harp : 퍼센트 숫자를 주어야한다면 1 % 이하일 것입니다. SSMS 사용 및 보안 탭으로 이동하여 확장하는 순서에 대한 기본 정보입니다. 컴플라이언스 측면에서는 훨씬 더 높습니다. 그래서 약간의 헤드 룸이 필요하다고 말한 이유는 성능 모니터링 측면에서 볼 수있는 수준을 훨씬 뛰어 넘는 것입니다. 이제는 규정 준수 모니터링의 요령으로 사람들을 놀라게하고 싶지 않으며 감사하는 경우 조치를 취할 대상 만 감사하는 것입니다. "여러분이 사람들이이 특정 테이블에 언제 액세스하는지 알고 싶습니다. 사람들이 액세스 할 때마다 이러한 특정 작업을 수행 할 때 알고 싶습니다"라고 말하면 필터링 빈도는이 빈도에 따라 결정됩니다. 발생하고 얼마나 많은 데이터를 생성하고 있습니까? “이러한 테이블에서 발생하는 모든 선택의 전체 SQL 텍스트를 원합니다.”라고 말하면 SQL Server에서 파싱해야 할 기가 바이트 및 기가 바이트의 데이터가 제품으로 옮겨 져서 기타
당신이 그것을 유지한다면 – 그것은 아마도 당신이 다룰 수있는 것보다 더 많은 정보가 될 것입니다. 더 작은 세트로 가져 와서 하루에 수백 개의 이벤트를 받으면 훨씬 더 낮습니다. 어떤면에서 하늘은 한계입니다. 모든 것에 대한 모든 모니터링에서 모든 설정을 켜면 50 % 성능에 영향을 미칩니다. 그러나 당신이 그것을 더 온건하고 고려 된 수준으로 바꾸려고한다면 10 % 안구가 될까요? 실제로, 그것은 당신의 작업량에 크게 의존하게 될 것들 중 하나입니다.
에릭 카바나 : 네. 하드웨어에 대한 또 다른 질문이 있습니다. 그런 다음 하드웨어 공급 업체가 게임에 참여하고 실제로 소프트웨어 공급 업체와 협력하고 있으며 Q & A 창을 통해 답변했습니다. Cloudera가 Intel과 협력하여 Intel에 큰 투자를 한 경우, Cloudera가 칩 설계에 조기에 액세스하여 보안을 칩 레벨에 적용 할 수 있다는 한 가지 특별한 사례를 알고 있습니다. 건축은 꽤 인상적입니다. 그럼에도 불구하고, 그것은 거기에서 나올 무언가이며 여전히 양쪽에 의해 악용 될 수 있습니다. 보안 프로토콜에 대해 소프트웨어 공급 업체와 협력해야하는 하드웨어 공급 업체의 경향 또는 경향을 알고 있습니까?
Vicky Harp : 예. 실제로 암호화 작업의 일부 메모리 공간이 메인 메모리와 분리 된 마더 보드의 개별 칩에서 발생하기 위해 Microsoft가 협력했다고 생각합니다. 그 물건의 물리적으로 분리되어 있습니다. 그리고 실제로는 Microsoft에서 공급 업체로 가서 다음과 같이 말한 것으로 생각합니다.“기본적으로 주소를 지정할 수없는 메모리입니다. 버퍼 오버플로를 통해 얻을 수 없습니다. 이 기억은 어떤 의미에서도 존재하지 않기 때문에 그 중 일부가 일어나고 있다는 것을 알고 있습니다.”
에릭 카바나 : 네.
Vicky Harp : 그것은 아마도 가장 큰 벤더 일 것입니다.
에릭 카바나 : 네. 나는 그것에 대해 궁금하다. 그리고 아마도 로빈, 만약 당신이 빠른 순간을 가지고 있다면, 하드웨어와 관련하여 실제 재료 과학과 관련하여 수년에 걸쳐 당신의 경험을 알고 싶어 할 것이다. 공급 업체 측에서 제공하는 정보에 정보가 양면으로 전달 될 수 있으며 이론적으로는 양면으로 상당히 빠르게 이동할 수 있으므로 설계 관점에서 보안 강화에 이르기까지 하드웨어를보다 신중하게 사용할 수있는 방법이 있습니까? 어떻게 생각해? 로빈, 너 음소거하니?
로빈 블로어 : 네. 죄송합니다. 여기 있습니다. 나는 단지 질문을 숙고하고 있습니다. 솔직히 말해서, 나는 의견을 얻지 못했습니다. 그것은 크게 깊이 보지 않은 영역입니다. 그래서 나는 일종의 의견을 발명 할 수는 있지만 실제로는 알지 못합니다. 저는 소프트웨어로 안전하게 보호하는 것을 선호합니다. 기본적으로 내가하는 방식입니다.
에릭 카바나 : 네. 여러분, 우리는 한 시간 동안 불타고 여기에서 변화했습니다. 그녀의 시간과 관심에 대해 Vicky Harp에게 감사드립니다. 우리는 당신이 이러한 것들을 보여 주셔서 감사합니다. 큰 문제입니다. 곧 사라지지 않을 것입니다. 계속 진행하고가는 고양이-마우스 게임입니다. 따라서 일부 회사가 보안을 활성화하는 데 중점을 두었음에도 불구하고 Vicky는 프레젠테이션에서 언급 한 내용에 대해 언급하고 언급 한 것처럼 하루가 끝날 무렵에 매우 신중하게 생각해야하는 조직의 사람들입니다. 이러한 피싱 공격, 그런 종류의 사회 공학, 그리고 랩톱을 붙잡기 – 커피 숍에 두지 마십시오! 암호를 변경하고 기본 사항을 수행하면 그 방법의 80 %를 얻게됩니다.
그래서 여러분과 함께 작별 인사를하겠습니다. 시간과 관심에 다시 한번 감사드립니다. 다음에 연락 드리겠습니다. 안녕.
Vicky Harp : 고맙습니다.