작성자 : Techopedia Staff, 2016 년 10 월 27 일
테이크 아웃 : 호스트 Eric Kavanagh는 Robin Bloor, Dez Blanchfield 및 IDERA의 Ignacio Rodriguez와 데이터베이스 보안에 대해 논의합니다.
현재 로그인하지 않았습니다. 비디오를 보려면 로그인 또는 가입하십시오.
Eric Kavanagh : 다시 한 번 Hot Technologies에 오신 것을 환영합니다. 내 이름은 Eric Kavanagh입니다. 나는 오늘 웹 캐스트의 호스트가 될 것이며 인기있는 주제이며 절대 인기있는 주제가 될 수 없습니다. 솔직히 말해서, 우리가들은 모든 위반으로 인해이 주제는 화제가되고, 결코 사라지지 않을 것입니다. 그래서 오늘 보여 드릴 쇼의 정확한 제목은“새로운 표준 : 안전하지 않은 세계의 현실을 다루는 것”입니다. 이것이 바로 우리가 다루고있는 것입니다.
우리는 당신의 호스트, 당신의 진정한, 바로 거기에 있습니다. 몇 년 전부터 사진을 업데이트해야 할 것 같습니다. 그 시간은 2010 년이었습니다. 당신이 몇 가지 제안을하고 싶다면 나에게 이메일을 보내십시오. 이것이 바로 Hot Technologies의 표준 "핫"슬라이드입니다. 이 쇼의 전체 목적은 실제로 특정 공간을 정의하는 것입니다. 오늘 우리는 보안에 대해 이야기하고 있습니다. 우리는 실제로 IDERA의 친구들과 매우 흥미로운 각도를 취하고 있습니다.
청중 회원으로서 여러분은이 프로그램에서 중요한 역할을합니다. 부끄러워하지 마십시오. 언제든지 질문을 보내 주시면 충분한 시간이 있다면 Q & A를 위해 대기 해 드리겠습니다. 비공개 온라인에서 전화를하는 로빈 블로어 (Robin Bloor) 박사, 데즈 블란 치 필드 (Dez Blanchfield), 이그나시오 로드리게즈 (Ignacio Rodriguez)는 현재 온라인으로 3 명의 직원을두고 있습니다. 우선, 로빈, 당신은 첫 발표자입니다. 열쇠를 건네 줄게 멀리 가져.
로빈 블로어 박사 : 알겠습니다. 에릭. 데이터베이스 보안 – 회사가 실제로 맡고있는 가장 귀중한 데이터가 데이터베이스에있을 가능성이 있다고 생각합니다. 우리가 이야기 할 수있는 일련의 보안이 있습니다. 그러나 내가 생각한 것은 데이터베이스 보안의 주제에 대해 이야기하는 것입니다. 이그나시오 (Ignacio)가 발표 할 프레젠테이션에서 어떤 것도 빼고 싶지 않습니다.
먼저 데이터 보안을 정적 대상으로 생각하기는 쉽지만 그렇지 않습니다. 움직이는 목표입니다. 그리고 이것은 대부분의 사람들의 IT 환경, 특히 대기업 IT 환경이 항상 변화하고 있다는 의미에서 이해하는 것이 중요합니다. 그리고 그들은 항상 변화하고 있기 때문에 데이터 보안을 손상시키기 위해 내부 또는 외부에서 누군가가 어떤 방식 으로든 시도 할 수있는 공격 영역은 항상 변화하고 있습니다. 그리고 당신이 무언가를 할 때, 당신은 데이터베이스를 업그레이드 할 때, 당신이 그렇게함으로써 당신 자신을 위해 어떤 종류의 취약점을 만들 었는지 전혀 알지 못합니다. 그러나 당신은 알지 못하고 어떤 일이 벌어 질 때까지 알지 못할 수도 있습니다.
데이터 보안에 대한 간략한 개요가 있습니다. 우선, 데이터 도난은 새로운 것이 아니며 가치있는 데이터가 대상이됩니다. 일반적으로 조직에서 가장 보호해야 할 데이터가 무엇인지 쉽게 파악할 수 있습니다. 궁금한 점은 첫 번째 또는 첫 번째 컴퓨터라고 주장 할 수있는 것은 2 차 세계 대전 중에 영국 정보국이 한 가지 목적을 염두에두고 구축했으며 독일 통신에서 데이터를 훔치는 것이 었습니다.
따라서 데이터 도난은 시작된 이후 IT 산업의 일부였습니다. 인터넷의 탄생으로 인해 훨씬 더 심각해졌습니다. 매년 해마다 발생하는 데이터 유출 수에 대한 로그를보고있었습니다. 그리고 그 수는 2005 년까지 100 이상으로 급증했으며 그 시점부터 매년 점점 악화되고 있습니다.
더 많은 양의 데이터가 도난 당하고 더 많은 수의 핵이 발생합니다. 그리고 그것들은보고 된 핵입니다. 회사가 아무 말도하지 않기 때문에 아무 말도하지 않는 곳에서 발생하는 사건이 매우 많습니다. 따라서 데이터 유출을 조용하게 유지합니다. 해킹 비즈니스에는 정부, 기업, 해커 그룹, 개인 등 많은 플레이어가 있습니다.
제가 모스크바에 갔을 때, 그것이 4 년 전쯤에 있었던 것 같습니다. 모스크바에서 열린 소프트웨어 컨퍼런스였습니다. 저는 데이터 해킹 분야의 전문 기자와 이야기하고있었습니다. 그리고 그는 자신이 맞다고 확신합니다. 그러나 그가 저에게 언급 한 유일한 사람이 아닌 다른 사람은 알지 못합니다. – 러시아 비즈니스 네트워크 (Russian Business Network)라는 러시아 비즈니스가 있습니다. 이름이지만 영어 번역이라고 생각합니다. 실제로 해킹하기 위해 고용되었습니다.
따라서 전 세계 어디에서든 대규모 조직이고 경쟁 업체에 피해를 줄 수있는 일을하려는 경우이 직원을 고용 할 수 있습니다. 그리고이 사람들을 고용하면 누가 해킹 뒤에 있었는지에 대한 그럴듯한 거부감을 얻게됩니다. 해킹의 배후에있는 모든 사람이 발견되면 러시아에서 누군가 그런 일을했을 가능성이 높습니다. 그리고 당신이 경쟁자를 해치려는 것처럼 보이지는 않습니다. 그리고 저는 러시아 비즈니스 네트워크가 실제로 정부에 의해 고용되어 테러 자금이 어떻게 움직이는 지 알아 내기 위해 은행에 해킹하는 것과 같은 일을했다고 생각합니다. 그리고 그것은 실제로 그렇게했다고 결코 인정하지 않는 정부에 의해 그럴듯한 부인으로 이루어집니다.
공격 및 방어 기술이 발전합니다. 오래 전에 저는 카오스 클럽에 갔었습니다. 독일에서 등록 할 수있는 사이트였으며 다양한 사람들의 대화를 따라 가서 이용 가능한 정보를 확인할 수 있습니다. 보안 기술을 살펴볼 때 저는 2005 년쯤에 그렇게 생각했습니다. 그리고 그 당시의 상황과 저를 놀라게 한 것은 바이러스의 수였습니다. 기본적으로 오픈 소스 시스템이었습니다. 나는 계속해서 바이러스를 만들거나 바이러스를 강화한 사람들이 누구나 사용할 수 있도록 코드를 작성했습니다. 당시에는 해커가 매우 똑똑 할 수 있었지만 전혀 똑똑하지는 않지만 해커가 많지만 스마트 도구를 사용하고 있습니다. 그리고 이러한 도구 중 일부는 매우 똑똑합니다.
그리고 마지막 요점 : 기업은 데이터 유무에 관계없이 데이터를 관리 할 의무가 있습니다. 그리고 나는 그것이 예전보다 점점 더 실현되고 있다고 생각합니다. 비즈니스가 실제로 해킹을당하는 데 점점 더 많은 비용이 들고 있습니다. 해커에 대해, 그들은 어디에서나 위치 할 수 있으며, 제대로 식별되어 있어도 정의하기가 어려울 수 있습니다. 그들 중 많은 사람들이 매우 숙련되었습니다. 상당한 자원, 그들은 모든 곳에서 봇넷을 가지고 있습니다. 최근 발생한 DDoS 공격은 10 억 개가 넘는 장치에서 비롯된 것으로 여겨졌습니다. 그것이 사실인지 또는 그것이 둥근 숫자를 사용하는 기자인지는 모르겠지만 확실히 많은 수의 로봇 장치가 DNS 네트워크를 공격하는 데 사용되었습니다. 일부 수익성있는 사업, 정부 단체, 경제 전쟁, 사이버 전쟁, 모든 일이 벌어지고 있습니다.
규정 준수 및 규정 – 실제로 진행되는 여러 가지 사항이 있습니다. 제약 부문이나 은행 부문 또는 건강 부문과 같은 부문을 기반으로하는 많은 컴플라이언스 이니셔티브가 있으며, 사람들이 따라야 할 특정 이니셔티브, 다양한 모범 사례가있을 수 있습니다. 그러나 법이 있기 때문에 법을 위반하는 모든 사람에게 처벌을 부과하는 많은 공식 규정도 있습니다. 미국의 예는 HIPAA, SOX, FISMA, FERPA, GLBA입니다. PCI-DSS는 일부 표준이 있으며 카드 회사의 표준입니다. ISO / IEC 17799는 공통 표준을 얻으려고 노력합니다. 이것이 데이터의 소유권입니다. 국가 규정은 유럽마다 다르며, 특히 혼동이 심할 경우 유럽에서 말해야 할 수도 있습니다. 그리고 현재 유럽과 미국간에 규제를 시도하고 조화시키기 위해 협상중인 글로벌 데이터 보호 규정 인 GDPR이 있습니다. 사실상 국제적 수준이 높기 때문에 클라우드 서비스가 있기 때문입니다. 데이터가 국제 데이터라고 생각하지는 않지만 클라우드로 이동하자마자 데이터가 국가 외부로 이동했기 때문에 데이터가 국제적으로 전송되었습니다. 따라서 이들은 데이터 보호를 다루기 위해 어떤 방식 으로든 협상되고있는 일련의 규정입니다. 그리고 대부분은 개인의 데이터와 관련이 있으며, 물론 거의 모든 신원 데이터가 포함됩니다.
고려해야 할 사항 : 데이터베이스 취약점. 데이터베이스 공급 업체가 가능한 한 빨리 발견하고 패치를 적용 할 때 알려진 취약점의 목록이 있으므로 그 모든 것이 있습니다. 취약한 데이터를 식별하는 측면에서 관련이 있습니다. 지불 데이터에 대한 가장 크고 성공적인 해킹 중 하나는 지불 처리 회사에 이루어졌습니다. 그렇지 않은 경우 청산에 들어가야했지만 데이터가 운영 데이터베이스에서 도용되지 않았기 때문에 이후에 인수되었습니다. 데이터는 테스트 데이터베이스에서 도난당했습니다. 개발자들은 실제 데이터 인 데이터의 하위 집합을 가져 와서 보호없이 테스트 데이터베이스에서 사용했습니다. 테스트 데이터베이스가 해킹되었으며 수많은 개인 재무 정보가 수집되었습니다.
보안 정책, 특히 데이터베이스, 읽을 수있는 사람, 쓸 수있는 사람, 권한을 부여 할 수있는 사람에 관한 액세스 보안과 관련하여 누구나이 중 어느 것도 우회 할 수있는 방법이 있습니까? 물론 데이터베이스의 암호화로 가능합니다. 보안 위반 비용이 발생합니다. 나는 그것이 조직 내에서 표준 관행인지 아닌지는 모르겠지만, 최고 보안 책임자와 같은 일부 사람들은 보안 위반 비용이 실제로 발생하기 전에 발생하기 이전에 발생하는 비용에 대한 아이디어를 경영진에게 제공하려고한다는 것을 알고 있습니다. 그리고 그들은 조직을 방어 할 수있는 적절한 예산을 확보하기 위해 그렇게해야합니다.
그리고 공격 표면. 공격 표면은 항상 커지는 것 같습니다. 해마다 공격 표면이 커지는 것 같습니다. 요약하면 범위는 또 다른 요점이지만 데이터 보안은 일반적으로 DBA의 역할의 일부입니다. 그러나 데이터 보안도 공동 작업입니다. 보안을 수행하려면 조직 전체의 보안 보호에 대해 충분히 알고 있어야합니다. 그리고 이에 대한 기업 정책이 필요합니다. 회사 정책이 없으면 단편 솔루션으로 끝납니다. 고무 밴드와 플라스틱은 일종의 보안 문제를 막으려 고합니다.
그렇게 말하면서, 나는 아마도 당신에게 다양한 전쟁 이야기를 줄 Dez에게 넘길 것이라고 생각합니다.
에릭 카바나 흐 : 데즈.
Dez Blanchfield : 감사합니다, Robin. 따르는 것은 항상 힘든 행동입니다. 나는 스펙트럼의 반대쪽 끝에서 이것을 보게 될 것입니다. 나는 우리가 직면 한 도전의 규모를 이해하고 왜 우리가 앉아서 앉아서 이것에주의를 기울여야하는 것보다 더 많은 일을 해야하는지 생각합니다. . 우리가 지금보고있는 과제는 규모, 수량 및 볼륨, 이러한 일이 발생하는 속도에 따라 현재 CIO뿐만 아니라 많은 CXO를 통해 현재 듣고있는 것은 CIO뿐 아니라 확실합니다. CIO는 벅이 멈추는 곳에서 참석하는 사람들입니다. 데이터 유출이 빠르게 표준으로 자리 잡는다는 점입니다. 그들은 거의 일어날 것으로 예상되는 것입니다. 그래서 그들은“좋아요, 우리가 위반했을 때 – 위반하지 않을 때, 우리는 이것에 대해 무엇을해야합니까?”라는 관점에서 이것을보고 있습니다. 그리고 대화는 시작됩니다. 기존 에지 환경과 라우터, 스위치, 서버, 침입 탐지, 침입 검사에서 무엇을하고 있습니까? 그들은 시스템 자체에서 무엇을하고 있습니까? 그들은 데이터로 무엇을하고 있습니까? 그런 다음 모든 것이 데이터베이스에서 수행 한 작업으로 돌아갑니다.
많은 사람들의 상상력을 사로 잡은 이러한 것들에 대한 몇 가지 예를 살펴본 다음, 그것들을 조금 자세히 살펴 보도록하겠습니다. 우리는 야후에서 사람들이들은 것으로 아마 가장 큰 숫자는 약 50 만 명이라는 사실을 들었습니다. 그러나 실제로는 비공식적으로는 10 억에 달하는 것으로 나타났습니다. 전 세계 인구의 절반에 해당한다고 생각합니다. 그러나 야후에서 유출 된 기록이 10 억 개가 넘었다 고 생각하는 관련 분야의 많은 사람들로부터 확인을 받았습니다. 그리고 이것은 단지 마음을 흔들리는 숫자입니다. 이제 일부 플레이어는 웹 메일 계정 일뿐 아니라 별다른 문제가되지 않습니다.하지만 예상했던 것보다 많은 웹 메일 계정과 호기심 많은 숫자가 실제로는 유료 계정이라는 사실을 덧붙입니다. 사람들이 신용 카드 정보를 입력하고 광고를 제거하기 위해 돈을 지불하는 곳입니다. 광고에 지쳐서 한 달에 4 ~ 5 달러는 광고가없는 웹 메일과 클라우드 스토리지 서비스를 구매할 의사가 있기 때문입니다., 나는 그 중 하나이며, 신용 카드를 꽂는 3 개의 다른 제공 업체에이를 가지고 있습니다.
따라서이 문제는“아직 야후가 5 억에서 1 억 건 사이의 계정을 잃어 버렸다”고 말하는 한 줄의 선이 아니기 때문에 좀 더 주목을 받게됩니다. 매우 큰 소리와 웹 메일 계정이지만 신용 카드 정보, 이름, 성, 이메일 주소, 생년월일, 신용 카드, 핀 번호, 원하는 것, 비밀번호 등이 훨씬 더 무서운 개념이됩니다. 그리고 다시 사람들은 "그렇습니다. 그러나 그것은 웹 서비스 일뿐입니다. 웹 메일 일뿐입니다."라고 말합니다. 그리고 나서 저는 "Yaya 계정이 Yahoo Money 서비스에서 구매하기 위해 사용되었을 수도 있습니다. 주식을 팔아요.”그러면 더욱 흥미로워집니다. 그리고 드릴 다운을 시작하면서 실제로 이것은 가정에서 엄마와 아빠 이상의 것이지, 그리고 메시징 계정을 가진 십대들에게는 실제로 사람들이 비즈니스 거래를하고있는 곳이라는 것을 알고 있습니다.
이것이 스펙트럼의 한 끝입니다. 스펙트럼의 다른 쪽 끝은 호주의 아주 작은 일반 진료 서비스 제공자가 약 1, 000 건의 기록을 도난 당했다는 것입니다. 내부 작업이었고 누군가 떠났고 호기심이 많았고 문 밖으로 나갔습니다.이 경우 3.5 인치 플로피 디스크였습니다. 얼마 전 이었지만 미디어의 시대를 알 수는 있지만 오래된 기술을 사용하고있었습니다. 그러나 그들이 데이터를 가져간 이유는 누가 거기에 있는지 궁금해하기 때문입니다. 그들은이 작은 마을에 꽤 많은 사람들이 있었기 때문에 정치인 인 우리 수도였습니다. 그리고 그들은 그곳에 누가 있었는지 그리고 그들의 삶이 어디에 있는지 그리고 모든 종류의 정보에 관심이있었습니다. 내부적으로 수행 된 데이터 유출이 매우 적어 호주 정부의 세부 정보에 상당수의 정치인들이 공개적으로 등장한 것으로 보입니다.
우리는 스펙트럼의 두 가지 다른 끝을 고려해야합니다. 이제 현실은 이러한 것들의 규모가 엄청나게 엄청나고 우리가 매우 빠르게 여기로 뛰어 올릴 슬라이드를 얻었습니다. 모든 종류의 데이터를 나열하는 몇 가지 웹 사이트가 있지만이 웹 사이트는 보안 전문가가 제공합니다.이 웹 사이트에는 전자 메일 주소 또는 이름을 검색하고 검색 할 수있는 웹 사이트가 있으며 모든 데이터 사건을 표시합니다 지난 15 년 동안 그가 손을 댈 수 있었고 데이터베이스에로드 한 후 확인하면 계약 내용이 그대로 표시되었는지 확인할 수 있습니다. 그러나이 숫자 중 일부를보기 시작하면이 스크린 샷은 Yahoo와 같은 커플을 포함하는 최신 버전으로 업데이트되지 않았습니다. 그러나 여기서 서비스 유형에 대해 생각하십시오. Myspace, LinkedIn, Adobe가 있습니다. 사람들이보고 생각하기 때문에 Adobe가 흥미 롭습니다. Adobe는 무엇을 의미합니까? 어떤 형태의 Adobe Reader를 다운로드하는 대부분의 사람들은 신용 카드가있는 1 억 5 천 5 백만 명의 Adobe 제품을 구입했습니다.
이제 로빈의 관점에서 볼 때, 이것들은 매우 큰 숫자이며, 그것들에 압도되기 쉽습니다. 위반 된 3 억 5 천 5 백만 개의 계정이 있으면 어떻게됩니까? 글쎄, 몇 가지가 있습니다. Robin은 데이터가 항상 어떤 형태의 데이터베이스에 있다는 사실을 강조했습니다. 이것이 중요한 메시지입니다. 내가 아는 한 지구상의 어느 누구도 어떤 형태의 시스템을 실행하더라도 데이터베이스에 저장하지 않습니다. 그러나 흥미로운 점은 해당 데이터베이스에 세 가지 유형의 데이터가 있다는 것입니다. 일반적으로 암호화되는 사용자 이름 및 비밀번호와 같은 보안 관련 항목이 있지만 항상 그렇지 않은 예가 많이 있습니다. 자신의 프로필 및 건강 기록이든 이메일이든 인스턴트 메시지이든 관계없이 생성 한 데이터와 관련하여 실제 고객 정보가 있습니다. 그리고 실제 임베디드 로직이 있으므로 저장 프로 시저가 될 수 있습니다. + this + then + that이면 전체 규칙이 될 수 있습니다. 그리고 그것은 데이터베이스에 붙어있는 ASCII 텍스트 일뿐입니다.“글쎄, 이것들은 비즈니스 규칙입니다. 이것이 데이터가 이동하고 제어되는 방식입니다. 우리는 데이터가 쉬고있을 때, 암호화되어 있어야합니다. 모션은 암호를 해독하여 메모리에 보관할 수 있습니다.”그러나 이상적으로는 그럴 수도 있습니다.
그러나이 모든 요점은이 모든 데이터가 특정 형태의 데이터베이스에 있으며, 과거에는 데이터베이스와 라우터가 아니라 라우터와 스위치 및 서버, 심지어 스토리지에 초점을 두지 않는 경우가 많았습니다. 뒷머리. 우리는 우리가 네트워크의 가장자리를 덮고 있다고 생각하기 때문에 그것은 일종의 전형적인 오래된 종류의성에 살고 있으며 성 주위에 해자를 놓으면 나쁜 사람들이 가지 않기를 바랍니다. 수영을 할 수 있습니다. 그러나 갑자기 나쁜 사람들은 연장 사다리를 만들고 해자를 넘어 던지고 해자를 넘어 벽을 오르는 방법을 알아 냈습니다. 그리고 갑자기 당신의 해자는 거의 쓸모가 없습니다.
이제 우리는 스프린트에서 조직이 캐치 업 모드에있는 시나리오에 있습니다. 문자 그대로 모든 시스템에서 내 견해로, 그리고 분명히 내 경험에 따르면 문자 그대로 모든 웹 유니콘이 아니며, 종종 우리가 참조하는 웹 유니콘이 아니라 종종 전통적인 기업 조직이 위반하는 것이 아닙니다. 그리고 당신은 그들이 누구인지 찾기 위해 많은 상상력을 가질 필요가 없습니다. pastebin.net과 같은 웹 사이트가 있으며 pastebin.net으로 이동하여 전자 메일 목록 또는 비밀번호 목록을 입력하면 사람들이 하루에 수십만 항목을 입력하여 사람들이 예제 데이터 세트를 나열하는 곳에 추가됩니다. 그건 그렇고, 이름, 성, 신용 카드 정보, 사용자 이름, 암호, 해독 된 암호의 최대 천 레코드까지. 사람들이 해당 목록을 가져 와서 3-4 개 확인하고 해당 목록을 구입하기로 결정한 경우, 해당 목록을 구입하고 데이터를 판매하는 사람에게 일종의 익명의 게이트웨이를 제공하는 일종의 메커니즘이 있습니다.
흥미로운 점은 제휴 기업가가이 일을 할 수 있다는 사실을 깨닫고 나면이 목록 중 하나를 구입하기 위해 미화 1, 000 달러를 소비하면 가장 먼저하는 일이 무엇인지 깨닫는 데 많은 상상력이 필요하지 않다는 것입니다. 당신은 가서 계정을 추적하려고 시도하지 않고, 당신은 그것을 사본을 pastbin.net에 다시 넣고 각각 1, 000 달러 씩 2 부 판매하고 1, 000 달러의 수익을 올립니다. 그리고 이들은 이것을하는 아이들입니다. 전 세계적으로 생계를 위해이를 수행하는 매우 큰 전문 조직이 있습니다. 다른 국가를 공격하는 국가도 있습니다. 아시다시피, 미국을 공격하는 미국, 중국을 미국을 공격하는 것에 대한 이야기가 많이 있습니다. 그렇게 간단하지는 않지만 데이터베이스에 의해 구동되는 시스템을 위반하는 정부 기관은 분명히 있습니다. 작은 조직의 경우가 아니라 국가 대 국가이기도합니다. 데이터를 어디에 저장합니까? 데이터베이스에 있습니다. 어떤 컨트롤과 메커니즘이 있습니까? 또는 항상 암호화되지 않았으며 암호화 된 경우 항상 모든 데이터가 아니거나 소금에 절인 암호화 된 암호 일 수 있습니다.
그리고이 문제를 해결하기 위해 해당 데이터의 내용과 데이터 및 SOX 준수에 대한 액세스를 제공하는 방법에 대한 다양한 과제가 있습니다. 자산 관리 나 은행 업무에 대해 생각한다면 자격 증명 문제에 대해 걱정하는 조직이 있습니다. 회사 공간의 규정 준수를 우려하는 조직이 있습니다. 정부 준수 및 규제 요구 사항이 있습니다. 사내 데이터베이스가있는 시나리오가 있습니다. 타사 데이터 센터에 데이터베이스가 있습니다. 클라우드 환경에 데이터베이스가 설치되어 있으므로 클라우드 환경이 항상 국가에있는 것은 아닙니다. 그리고 이것은 순수한 보안 관점에서 해킹 당하지 않은 관점뿐만 아니라 모든 수준의 규정 준수를 어떻게 충족 시키는가? HIPAA 및 ISO 표준뿐만 아니라 수십, 수십, 수십 가지가 국가 수준, 국가 수준 및 세계 수준에서 경계를 넘나들고 있습니다. 호주와 사업을하고 있다면 정부 데이터를 옮길 수 없습니다. 호주의 개인 정보는 국가를 떠날 수 없습니다. 독일에 있다면 훨씬 더 엄격합니다. 저는 미국이 여러 가지 이유로 이것에 대해 매우 빠르게 움직이고 있음을 알고 있습니다.
그러나 그것은 데이터베이스에서 무슨 일이 일어나고 있는지, 어떻게 모니터하고, 누가 데이터베이스에서 무엇을하고 있는지, 어떻게 다양한 테이블과 행과 열과 필드를 볼 수 있는지를 어떻게 알 수 있는지에 대한 모든 도전으로 다시 돌아옵니다., 그들은 언제 그것을 읽고, 얼마나 자주 읽고 누가 추적합니까? 그리고 오늘이 문제를 해결하는 방법에 대한 이야기를 도와 줄 손님에게 넘겨주기 전에 마지막 단계로 넘어갑니다. 그러나 저는이 생각을 우리에게 맡기고 싶습니다. 즉, 비즈니스 비용과 조직 비용에 중점을 둡니다. 우리는 오늘이 요점을 자세히 다루지 않을 것입니다.하지만 숙고하기 위해 마음에두고 싶습니다. 위반 후 정리할 레코드 당 약 US $ 135와 US $ 585 사이의 추정치가 있습니다. 따라서 라우터와 스위치 및 서버에 대한 보안 투자는 모두 훌륭하고 방화벽이지만 데이터베이스 보안에 얼마나 투자 했습니까?
그러나 그것은 허위 경제이며 야후의 위반이 최근에 일어 났을 때 나는 그것을 좋은 권위로 가지고있을 때, 그것은 5 억이 아닌 대략 10 억 개의 계정입니다. 버라이존은 45 억 달러에 해당하는 조직을 사들 였을 때, 위반이 발생하자마자 10 억 달러 나 할인을 요청했다. 이제 수학을하고 약 10 억 달러에 달하는 약 10 억 달러의 할인 기록이 있다고 말하면 이제 레코드 정리에 대한 135 ~ 535 달러의 추정치가 1 달러가됩니다. 다시 말하지만, 그것은 원근법입니다. 10 억 개의 레코드를 정리하는 데 1 달러가 들지 않습니다. 레코드 당 1 달러로 해당 규모의 위반에 대해 10 억 개의 레코드를 정리합니다. 그런 종류의 비용으로 보도 자료를 내놓을 수도 없습니다. 따라서 우리는 항상 내부 문제에 중점을 둡니다.
하지만 제가 생각하는 것 중 하나는 데이터베이스 수준에서이 문제를 매우 심각하게 생각하는 것입니다. 이것이 우리가 이야기하는 데있어 매우 중요한 주제이기 때문에 우리는 결코 인간에 대해 이야기하지 않습니다. 통행료. 우리가 겪는 인간의 피해는 무엇입니까? 그리고 빨리 마무리하기 전에 한 가지 예를 들어 보겠습니다. LinkedIn : 2012 년 LinkedIn 시스템이 해킹당했습니다. 많은 벡터가 있었고 나는 그것에 들어 가지 않을 것입니다. 그리고 수억 건의 계정이 도난당했습니다. 사람들은 약 1 억 6 천 2 백만 달러라고 말하지만 실제로는 훨씬 더 많으며 약 2 억 4 천만 개가 될 수 있습니다. 그러나 그 위반은 올해 초까지 발표되지 않았습니다. 4 억 년 동안 수억 명의 사람들의 기록이 남아 있습니다. 현재 신용 카드로 서비스 비용을 지불하는 사람들과 무료 계정을 가진 사람들이있었습니다. 하지만 링크드 인은 흥미로운 사실입니다. 위반 한 경우 계정 세부 정보에 액세스했을뿐 아니라 모든 프로필 정보에도 액세스 할 수 있기 때문입니다. 그래서, 당신은 누구와 연결되어 있고, 당신이 가진 모든 연결과, 가지고있는 직업의 종류와 그들이 가지고있는 기술의 종류, 그리고 회사와 모든 종류의 정보, 연락처 세부 사항에서 일한 시간.
따라서 이러한 데이터베이스의 데이터를 보호하고 데이터베이스 시스템 자체를 보호 및 관리하는 데 따른 과제와 4 년 동안 해당 데이터의 영향을받는 영향에 대해 생각해보십시오. 그리고 누군가가 동남아시아 어딘가에 휴가를 떠날 가능성이 있으며 4 년 동안 데이터를 가지고있었습니다. 누군가가 자동차를 샀거나 주택 융자를 받았거나 신용 카드로 연 10 대의 전화를 샀을 것입니다. 그들은 LinkedIn 데이터에서도 충분한 정보를 제공했기 때문에 4 년 동안 그 데이터에 대한 가짜 ID를 만들었습니다. 은행 계좌와 가짜 신분증을 만드십시오 – 비행기에 타면 휴가를 갈 수 있고 착륙하여 감옥에 갇 힙니다. 왜 감옥에 갇혀 있습니까? 자네의 신분을 도둑 맞았 기 때문에 누군가가 가짜 신분증을 만들어 당신과 수십만 달러처럼 행동했고 그들은이 4 년 동안 일을했으며 그 사실조차 알지 못했습니다. 그것이 밖에 있기 때문에 방금 일어났습니다.
데이터베이스에서 무슨 일이 일어나고 있는지, 어떻게 추적하고, 어떻게 모니터링하는지에 대한 핵심 도전에 이르게된다고 생각합니다. 그리고 IDERA의 친구들이 어떻게이를 해결할 수있는 솔루션을 만들어 냈는지 듣고 싶습니다. 그리고 그것으로, 나는 넘겨 줄 것이다.
에릭 카바나 흐 : 좋아요, 이그나시오, 바닥은 당신입니다.
이그나시오 로드리게스 : 좋습니다. 모두들 환영합니다 제 이름은 이그나시오 로드리게스입니다. IDERA와 보안 제품 제품 관리자와 함께 있습니다. 방금 다룬 정말 좋은 주제이며 데이터 유출에 대해 걱정해야합니다. 보안 정책을 강화하고 취약성을 식별하고 보안 수준을 평가하고 사용자 권한을 제어하며 서버 보안을 제어하고 감사를 준수해야합니다. 과거의 역사, 주로 오라클 측에서 감사를 해왔습니다. SQL Server에서 일부 작업을 수행했으며 도구 또는 기본적으로 자체 스크립트를 사용하여 작업을 수행했지만 리포지토리를 생성하고 리포지토리의 보안을 유지하고 감사 자의 변경 사항으로 스크립트를 지속적으로 유지해야합니다., 당신은 무엇입니까.
따라서 도구에서 IDERA가 있고 도구가 있음을 알고 있다면 도구를 구입했을 가능성이 큽니다. 어쨌든 우리는 보안에 대해 이야기 할 것입니다. 보안 제품군의 제품 중 하나이며 기본적으로 수행하는 작업은 보안 정책을보고이를 규제 지침에 매핑하는 것입니다. SQL Server 설정의 전체 기록을 볼 수 있으며 기본적으로 이러한 설정의 기준을 설정 한 다음 향후 변경 내용과 비교할 수 있습니다. 설정의 기준선 인 스냅 샷을 생성 한 다음 변경된 사항이 있는지 추적하고 변경 사항이있을 경우 경고를받을 수 있습니다.
우리가 잘하는 것 중 하나는 보안 위험과 위반을 방지하는 것입니다. 보안 보고서 카드는 서버의 주요 보안 취약점에 대한 정보를 제공하며 각 보안 검사는 위험 수준이 높거나 낮거나 낮습니다. 이제 이러한 범주 또는 보안 검사에서 모든 범주를 수정할 수 있습니다. 컨트롤이 있고 우리가 가지고있는 템플릿 중 하나를 사용하고 결정한 경우, 컨트롤은 실제로이 취약점이 실제로 높지는 않지만 중간이거나 그 반대임을 나타냅니다. 중간으로 레이블이 지정된 항목이있을 수 있지만 조직에서 레이블로 지정하려는 컨트롤이 있거나 사용자가 해당 설정을 높게 구성 할 수있는 것으로 간주 할 수 있습니다.
우리가 봐야 할 또 다른 중요한 문제는 취약점을 식별하는 것입니다. 누가 무엇에 액세스 할 수 있는지 이해하고 모든 SQL Server 개체에서 각 사용자의 유효 권한을 식별합니다. 이 도구를 사용하여 모든 SQL Server 개체에 대한 권한을 살펴보고이 스크린 샷을 곧 보게 될 것입니다. 또한 사용자, 그룹 및 역할 권한을보고하고 분석합니다. 다른 기능 중 하나는 자세한 보안 위험 보고서를 제공한다는 것입니다. 즉시 사용 가능한 보고서가 있으며 감사 자, 보안 책임자 및 관리자가 요구하는 데이터를 표시하고 보고서 유형을 생성 할 수있는 유연한 매개 변수가 포함되어 있습니다.
앞서 언급했듯이 보안, 위험 및 구성 변경 사항을 시간에 따라 비교할 수도 있습니다. 그리고 그것들은 스냅 샷과 함께 있습니다. 또한 도구 내에서 예약 할 수있는 월별, 분기 별, 매년 스냅 샷을 원하는대로 구성 할 수 있습니다. 다시 한 번, 비교를 통해 변경된 사항과 그에 대한 좋은 점을 확인할 수 있습니다. 위반이 발생한 경우 수정 후 스냅 샷을 작성하고 비교를 수행하면 상위 레벨이 있음을 알 수 있습니다 이전 스냅 샷과 관련된 위험을보고 한 후보고하면 실제로 다음 스냅 샷에서 더 이상 문제가되지 않는 것으로 수정되었습니다. 감사 자에게 제공 할 수있는 좋은 감사 도구입니다. 감사 자에게 제공 할 수있는 보고서입니다.“이봐, 우리는이 위험을 감수하고 완화 시켰으며 이제는 더 이상 위험하지 않습니다.” 스냅 샷과 함께 언급하면 구성이 변경 될 때 경고 할 수 있으며 구성이 변경되어 감지되면 새로운 위험이있는 경우이를 알릴 수 있습니다.
보안이있는 SQL Server 아키텍처에 대한 몇 가지 질문이 있으며 여기서 "수집 서비스"라는 슬라이드를 수정하고 싶습니다. 서비스가 없으며 "관리 및 수집 서버"였습니다. ”콘솔과 관리 및 컬렉션 서버가 있으며 등록 된 데이터베이스로 이동하여 작업을 통해 데이터를 수집하는 에이전트없는 캡처가 있습니다. 또한 SQL Server 리포지토리가 있으며 보고서를 예약하고 사용자 지정 보고서를 만들기 위해 SQL Server Reporting Services와 함께 작업합니다. 이제 보안 보고서 카드에서 SQL 보안이 시작될 때 표시되는 첫 화면입니다. 감지 한 중요 항목을 쉽게 확인할 수 있습니다. 그리고 다시, 우리는 최고점, 중간 점 및 최저점을 가지고 있습니다. 그런 다음 특정 보안 검사와 관련된 정책도 있습니다. HIPAA 템플릿이 있습니다. IDERA 보안 수준 1, 2 및 3 템플릿이 있습니다. PCI 지침이 있습니다. 이들은 모두 사용할 수있는 템플릿이며 자신의 컨트롤에 따라 고유 한 템플릿을 만들 수도 있습니다. 그리고 다시 수정 가능합니다. 당신은 당신의 자신을 만들 수 있습니다. 기존 템플릿을 기준으로 사용할 수 있으며 원하는대로 수정할 수 있습니다.
할 수있는 좋은 방법 중 하나는 누가 권한을 가지고 있는지 확인하는 것입니다. 그리고이 화면에서 엔터프라이즈의 SQL Server 로그인 정보를 볼 수 있으며 서버 데이터베이스의 개체 수준에서 할당 된 유효 권한을 모두 볼 수 있습니다. 우리는 여기에 있습니다. 데이터베이스 또는 서버를 다시 선택한 다음 SQL Server 권한 보고서를 가져올 수 있습니다. 누가 무엇에 액세스 할 수 있는지 볼 수 있습니다. 또 다른 좋은 기능은 보안 설정을 비교할 수 있다는 것입니다. 기업 전체에서 설정해야하는 표준 설정이 있다고 가정합니다. 그런 다음 모든 서버를 비교하고 엔터프라이즈의 다른 서버에 어떤 설정이 설정되어 있는지 확인할 수 있습니다.
다시 한 번 정책 템플릿은 이러한 템플릿 중 일부입니다. 당신은 기본적으로 다시 그 중 하나를 사용하여 자신을 만듭니다. 여기에 표시된대로 고유 한 정책을 만들 수 있습니다. 템플릿 중 하나를 사용하면 필요에 따라 수정할 수 있습니다. 또한 SQL Server 유효 권한을 볼 수 있습니다. 그러면 사용자 및 역할에 대한 권한이 올바르게 설정되었는지 확인하고 증명할 수 있습니다. 다시 한 번 나가서 사용자와 역할에 대한 권한이 올바르게 설정되어 있는지보고 확인할 수 있습니다. 그런 다음 SQL Server 개체 액세스 권한을 사용하여 서버 수준에서 개체 수준 역할 및 끝점까지 SQL Server 개체 트리를 찾아서 분석 할 수 있습니다. 또한 개체 수준에서 할당되고 효과적인 상속 된 권한 및 보안 관련 속성을 즉시 볼 수 있습니다. 이를 통해 데이터베이스 개체에 대한 액세스 권한과 해당 개체에 대한 액세스 권한이있는 사람을 쉽게 확인할 수 있습니다.
우리는 다시 우리의 보고서를 가지고 있습니다. 그들은 통조림 보고서이며, 보고를 위해 선택할 수있는 몇 가지가 있습니다. 그리고이 중 많은 부분을 사용자 정의하거나 고객 보고서를 작성하고이를보고 서비스와 함께 사용하여 자체 사용자 정의 보고서를 작성할 수 있습니다. 이제 Snapshot Comparisons는 매우 멋진 기능입니다. 여기서 나가서 어디에서나 찍을 수있는 Snapshot을 비교하고 그 수에 차이가 있는지 확인할 수 있습니다. 추가 된 개체가 있습니까? 변경된 권한이 있었는지, 다른 스냅 샷간에 어떤 변경 사항이 있는지 확인할 수있는 모든 항목이 있습니까? 어떤 사람들은 이것을 월 단위로 볼 것입니다 – 그들은 월간 스냅 샷을 한 다음 매달 어떤 변화가 있는지 비교하기 위해 비교를합니다. 변경되지 않은 변경 사항, 변경 제어 미팅에 참석 한 항목이 있고 일부 권한이 변경된 것을 확인한 후 돌아가서 발생한 상황을 확인할 수 있습니다. 이 기능은 스냅 샷 내에서 감사 된 모든 항목을 다시 비교할 수있는 매우 유용한 기능입니다.
그런 다음 평가 비교. 이 기능은 평가판을 살펴본 후 평가를 비교할 수있는 또 하나의 좋은 기능입니다. 여기에 비교 한 결과 최근 스냅 샷에서 비활성화되지 않은 SA 계정이 있습니다. – 이제 수정되었습니다. 이것은 우리가 위험을 감수하고 도구에 의해 식별되었으며 이제 우리는 그러한 위험을 완화했음을 보여줄 수있는 아주 좋은 것입니다. 그리고 다시, 이것은 감사인들에게 실제로 이러한 위험이 완화되고 처리되었음을 보여주는 좋은 보고서입니다.
요약하자면 데이터베이스 보안은 매우 중요하며 외부 소스에서 발생하는 위반을 여러 번보고 있으며 내부 위반에 대해 너무 많은주의를 기울이지 않는 경우가 많습니다. 조심해야합니다. 그리고 보안을 통해 할당 할 필요가없는 권한이 없는지 확인할 수 있습니다. 이러한 모든 보안이 계정에 올바르게 설정되어 있는지 확인하십시오. SA 계정에 비밀번호가 있는지 확인하십시오. 또한 암호화 키가 내보내 졌는지 확인합니다. 우리가 확인하는 여러 가지 다른 것들이 있으며 문제가 있고 문제의 수준에 따라 사실을 알릴 것입니다. 우리는 도구가 필요하고 많은 전문가들이 데이터베이스 액세스 권한을 관리하고 모니터링하는 도구가 필요하며 실제로 데이터베이스 권한을 제어하고 액세스 활동을 추적하고 위반 위험을 완화 할 수있는 광범위한 기능을 제공하는 방법을 모색합니다.
보안 제품의 또 다른 부분은 WebEx가 있고 이전에 언급 한 프레젠테이션의 일부가 데이터라는 점입니다. 누가 무엇에 액세스하고 있으며 무엇을 가지고 있는지 알고 있으며 이것이 SQL Compliance Manager 도구입니다. 또한 해당 도구에 기록 된 WebEx가 있으며 실제로 누가 어떤 테이블에 액세스하는지, 어떤 컬럼에 대해 모니터링 할 수 있으며, 생년월일, 환자 정보, 해당 테이블 유형 및 민감한 컬럼이있는 테이블을 식별 할 수 있습니다. 실제로 해당 정보에 액세스 할 수있는 사람과 액세스 중인지 확인하십시오.
Eric Kavanagh : 알겠습니다. 질문에 대해 자세히 알아 보겠습니다. 어쩌면 데즈, 내가 먼저 던질거야 로빈은 할 수있어
Dez Blanchfield : 네, 두 번째 와 세 번째 슬라이드에서 질문을하고 싶습니다. 이 도구의 일반적인 사용 사례는 무엇입니까? 이것을 채택하여 활용하는 가장 일반적인 유형의 사용자는 누구입니까? 그리고 그 뒤에는 전형적인 일종의 유스 케이스 모델이 있습니다. 어떻게 구현되고 있습니까?
이그나시오 로드리게스 : 우리가 일반적으로 사용하는 사례는 데이터베이스에 대한 액세스 제어 책임이 할당 된 DBA이며 모든 권한이 필요한 방식과 추적 및 표준을 유지하도록하는 DBA입니다. 그 자리에. 이러한 특정 사용자 계정은 이러한 특정 테이블에만 액세스 할 수 있습니다. 그리고 그들이하고있는 일은 그 표준이 설정되었고 그 표준이 시간이 지남에 따라 변하지 않도록하는 것입니다. 그리고 그것이 사람들이 그것을 사용하는 가장 큰 일 중 하나는 알려지지 않은 변경 사항이 있는지 추적하고 식별하는 것입니다.
Dez Blanchfield : 그들이 무서운 사람이기 때문에 그렇지 않습니까? 전략 문서를 가지고 있고, 이를 뒷받침하는 정책이 있고, 그 아래에 규정 준수 및 거버넌스가 있으며, 정책을 따르고, 거버넌스를 준수하면 녹색 불이 들어옵니다. 한 달 후 갑자기 누군가가 변경 사항을 발표했으며 어떤 이유로 든 동일한 변경 검토위원회 또는 변경 프로세스를 거치지 않거나 프로젝트가 진행 중이거나 프로젝트가 진행되어 아무도 알지 못합니다.
고객이 공유 할 수있는 사례가 있습니까? 물론 고객이 약간 걱정하기 때문에 항상 공유하는 것은 아닙니다. 따라서 이름을 지정할 필요는 없습니다. 실제로 이것을 보았을 것입니다. 조직이 이것을 깨닫지 않고 제자리에 놓았을 때 그들은 무언가를 발견하고 깨달았습니다. 사람들이 이것을 구현하고 그들이 더 큰 문제 또는 그들이 알지 못했던 실제 문제가 있음을 발견 한 다음 즉시 크리스마스 카드 목록에 추가되는 예는 무엇입니까?
이그나시오 로드리게스 : 글쎄요, 우리가 보거나보고 한 것 중 가장 큰 것은 누군가가 가진 접근성에 대해 제가 방금 언급 한 것입니다. 개발자가 있으며 도구를 구현할 때 X 개발자가 데이터베이스에 많이 액세스하고 특정 객체에 액세스 할 수 있다는 것을 실제로 알지 못했습니다. 또 다른 것은 읽기 전용 계정입니다. 그들이 가지고있는 읽기 전용 계정이 있었고, 이러한 읽기 전용 계정이 실제로 있다는 것을 알기 위해 데이터를 삽입하고 권한을 삭제했습니다. 그것이 우리가 사용자들에게 약간의 이익을 보인 곳입니다. 다시 한 번, 사람들이 좋아하는 큰 변화는 변경 사항을 추적하고 눈에 띄지 않는 부분이 없도록하는 것입니다.
Dez Blanchfield : Robin이 강조한 것처럼 사람들이 자주 생각하지 않는 시나리오가 있습니까? 우리가 기대할 때, 우리가 규칙에 따라 모든 일을한다면, 일종의 생각, 당신도 알다시피, 나는 당신도 그것을 보게 될 것입니다 – 당신이 그것에 동의하지 않는다면 말하십시오 – 조직은 초점을 맞 춥니 다 전략 및 정책 개발, 규정 준수 및 거버넌스 및 KPI 및보고 개발에 많은 시간을 할애하여 종종 고정되어 있으므로 특이 치에 대해 생각하지 않습니다. 그리고 Robin은 제가 그에게서 훔치려는 훌륭한 예를 가지고있었습니다. 죄송합니다. Robin은 데이터베이스의 라이브 사본, 스냅 샷을 개발 테스트에 넣는 다른 시간입니다. 우리는 개발, 테스트, UAT, 시스템 통합, 모든 종류의 작업을 수행 한 다음 많은 컴플라이언스 테스트를 수행합니다. 종종 dev 테스트, UAT, SIT는 실제로 건강과 안전을 보장하는 준수 구성 요소를 가지고 있지만 모든 사람이 그렇지는 않습니다. Robin이 개발 환경에서 테스트 한 데이터베이스의 라이브 사본 사본을 제공하여 라이브 데이터와 여전히 작동하는지 확인한이 예제. "그렇게 일어나거나 가능합니까?"라고 앉아서 생각하는 회사는 거의 없습니다. 그들은 항상 생산물에 고정되어 있습니다. 구현 여정은 어떻게 생겼습니까? 우리는 며칠, 몇 주, 몇 달에 대해 이야기하고 있습니까? 일반적인 규모의 조직에 일반 배포는 어떤 모양입니까?
이그나시오 로드리게즈 : 일. 며칠도 아니고 며칠 밖에 걸리지 않습니다. 방금 많은 서버를 등록 할 수있는 기능을 추가했습니다. 도구에 들어가서 150 대의 서버가 있다고 말하지 않고 개별적으로 들어가서 서버를 등록해야했습니다. 이제는 그렇게 할 필요가 없습니다. 생성 한 CSV 파일이 있으며 자동으로 제거되며 보안상의 이유로 파일을 보관하지 않습니다. 그러나 우리가 고려해야 할 또 다른 사항은 사용자 이름 / 비밀번호가있는 CSV 파일이 있다는 것입니다.
우리가하는 일은 자동으로 삭제하는 것입니다. 그러나 그것은 당신이 가진 옵션입니다. 거기에 개별적으로 들어가서 등록하고 위험을 감수하고 싶지 않다면 그렇게 할 수 있습니다. 그러나 CSV 파일을 사용하려면 안전한 위치에 파일을 놓고 응용 프로그램을 해당 위치를 가리키고 해당 CSV 파일을 실행 한 다음 완료되면 해당 파일을 자동으로 삭제하도록 설정됩니다. 그리고 파일이 제거되었는지 확인하고 확인합니다. 우리가 구현 한 모래에서 가장 긴 극은 실제 서버의 등록이었습니다.
Dez Blanchfield : 알겠습니다. 이제 보고서에 대해 이야기했습니다. 보고에 관한 한 사전 번들로 제공되는 내용에 대해 좀 더 자세하고 통찰력을 줄 수 있습니까? 제 생각에, 거기에 무엇이 있는지보고하고보고하는 것의 발견 요소, 국가의 현재 상태, 현재의 규정 준수 및 보안 상태에 대한 보고서까지 구축 및 사전 베이킹 된 후 얼마나 쉽게 확장 할 수 있습니까? 우리는 어떻게 그것들을 구축합니까?
이그나시오 로드리게즈 : 알겠습니다. 우리가 보유한 보고서 중 일부에는 서버 간, 로그인 확인, 데이터 수집 필터, 활동 기록 및 위험 평가 보고서를 다루는 보고서가 있습니다. 또한 의심스러운 Windows 계정도 있습니다. 여기에는 많은 것이 있습니다. 의심스러운 SQL 로그인, 서버 로그인 및 사용자 매핑, 사용자 권한, 모든 사용자 권한, 서버 역할, 데이터베이스 역할, 당사가 보유한 취약성 또는 혼합 모드 인증 보고서, 게스트 사용 데이터베이스, XPS를 통한 OS 취약성, 확장 절차, 취약한 고정 역할. 그것들은 우리가 가지고있는 보고서 중 일부입니다.
Dez Blanchfield : 그리고 당신은 그것들이 충분히 중요하고 많은 것들을 언급했는데, 이것은 논리적입니다. 맞춤 제작이 얼마나 쉬운가요? 보고서를 실행 하고이 큰 그래프를 얻었지만 실제로 관심이없는 몇 가지 부분을 꺼내고 몇 가지 다른 기능을 추가하고 싶다면 보고서 작성자가 있습니까? 인터페이스가 있습니까? 그리고 처음부터 다른 보고서를 구성하고 조정하거나 잠재적으로 구축 할 수있는 도구?
이그나시오 로드리게스 (Ignacio Rodriguez) : 그런 다음 Microsoft SQL Report Services를 사용하도록 사용자에게 지시하고 실제로는 보고서를 일부 가져 가서 원하는대로 사용자 지정하고 예약 할 고객이 많습니다. 이 사람들 중 일부는이 보고서를 매월 또는 매주보고 싶어하며, 우리가 보유한 정보를보고 서비스로 옮긴 다음 거기서 수행합니다. 우리는 도구와 통합 된 보고서 작성기가 없지만보고 서비스를 이용합니다.
Dez Blanchfield : 이 도구가 갖는 가장 큰 과제 중 하나라고 생각합니다. 거기에 들어가서 물건을 찾을 수는 있지만, 그것을 꺼내서 반드시 DBA 및 시스템 엔지니어 일 필요는없는 사람들에게보고해야합니다. 내 경험에있어 흥미로운 역할이 있습니다. 즉, 위험 관리 책임자는 항상 조직에 있었으며 주로 주변에 있었고 우리가 최근에 보았던 완전히 다른 범위의 위험에 직면 해 있습니다. CRO는 이제 사이버 범죄에 대한 HR 및 컴플라이언스 및 산업 보건 및 안전 유형의 초점에서 벗어나는 것입니다. 알다시피, 위반, 해킹, 보안 – 훨씬 더 기술적 인. MBA 가계도에서 나온 많은 CRO가 있고 기술 가계도는 아니기 때문에 흥미로워지고 있습니다. 따라서 사이버 리스크를 CRO 등. 그러나 그들이 원하는 가장 큰 것은 가시성보고입니다.
컴플라이언스와 관련하여 포지셔닝과 관련하여 어떤 점을 말씀해 주시겠습니까? 분명히 이것의 가장 큰 장점 중 하나는 무슨 일이 일어나고 있는지 볼 수 있고, 모니터링 할 수 있고, 배울 수 있고, 보고 할 수 있고, 그것에 반응하고, 그것에 반응하고, 어떤 것을 선점 할 수 있다는 것입니다. 가장 중요한 과제는 거버넌스 준수입니다. 기존 규정 준수 요구 사항이나 PCI와 같은 산업 규정 준수 또는 현재와 유사한 것 또는 로드맵에서 내려 오는 것이 의도적으로 연결되어있는 주요 부분이 있습니까? COBIT, ITIL 및 ISO 표준과 같은 프레임 워크에 적합합니까? 이 도구를 배포 한 경우 해당 프레임 워크에 맞는 일련의 점검 및 균형을 제공합니까, 아니면 해당 프레임 워크에 어떻게 구축합니까? 그런 것들을 염두에두고있는 입장은 어디에 있습니까?
이그나시오 로드리게스 : 예, 도구와 함께 제공되는 템플릿이 있습니다. 템플릿을 다시 평가하는 지점으로 다시 돌아가고 있으며 추가 될 예정이며 더 빨리 제공 될 예정입니다. FISMA, FINRA, 일부 추가 템플릿이 있으며 일반적으로 템플릿을 검토하고 변경된 사항, 추가해야 할 사항을 확인합니다. 그리고 실제로 보안 요구 사항이 상당히 변경되는 시점에 도달하고 싶기 때문에 즉시 확장 할 수있는 방법을 찾고 있습니다. 그것은 우리가 미래에보고있는 것입니다.
하지만 지금은 템플릿을 만들고 웹 사이트에서 템플릿을 가져올 수있는 방법을 찾고 있습니다. 다운로드 할 수 있습니다. 이것이 바로 우리가 처리하는 방식입니다. 템플릿을 통해 템플릿을 처리하며, 앞으로 쉽게 확장 할 수있는 방법을 찾고 있습니다. 내가 감사를 할 때 상황이 변하기 때문에 감사관은 한 달이 지나고 다음 달에는 다른 것을보고 싶어합니다. 그런 다음 도구의 문제점 중 하나이며, 이러한 변경을 수행하고 필요한 것을 얻을 수 있으며, 그것이 우리가 원하는 곳입니다.
Dez Blanchfield : 감사의 과제는 세상이 더 빠르게 움직인다는 사실에 비추어 정기적으로 변화하는 것 같습니다. 그리고 한때 감사의 관점에서 요구 한 바에 따르면, 내 경험상, 순전히 상용 준수가되어 기술 준수가되었으며 이제는 운영 준수입니다. 그리고 다른 모든 것들이 있습니다. 매일 누군가가 나타나서 ISO 9006 및 9002 작동과 같은 것을 측정하는 것이 아니라 모든 종류의 것을보고 있습니다. 그리고 이제 ISO에서 38, 000 시리즈가 큰 역할을하고있는 것을 알 수 있습니다. 나는 그것이 점점 더 어려워 질 것이라고 상상한다. 대역폭을 사용하고 있었기 때문에 Robin에게 인계하려고합니다.
대단히 감사합니다. 실제로 그것이 실제로 깊이 있다는 것을 알지 못했기 때문에 더 많은 시간을 할애 할 것입니다. 고마워요, 이그나시오, 이제 로빈에게갑니다. 훌륭한 프리젠 테이션, 감사합니다. 로빈.
로빈 블로어 박사 : 좋아요, 이기, 괜찮다면이기라고 부르겠습니다. 저를 놀라게 한 것은 Dez가 그의 프레젠테이션에서 말한 것들 중 일부에 비추어 볼 때 사람들이 실제로 데이터를 보지 않는다고 말해야 할 끔찍한 일이 많이 있습니다. 특히, 빙산의 일부만 볼 수 있다는 사실과 관련하여 아무도보고하지 않는 것이 많을 것입니다. 본인이 알고있는 고객 또는 잠재 고객이 얼마나 많은지에 대해 귀하가 보호하고있는 보호 수준을 가지고있는 것에 대한 귀하의 관점에 관심이 있습니다. 뿐만 아니라 데이터 액세스 기술? 내 말은, 누가 그 위협에 대처할 수있는 적절한 장비를 갖추고 있는가하는 것입니까?
이그나시오 로드리게스 : 누가 제대로 장착되어 있습니까? 우리가 실제로 어떤 종류의 감사도 다루지 않은 많은 고객들이 있습니다. 그들은 몇 가지를 가지고 있지만 큰 일은 그것을 유지하고 그것을 유지하고 확인하려고합니다. 우리가 본 가장 큰 문제는 – 심지어 규정 준수를 수행 할 때조차도 – 스크립트를 실행하면 감사자가 들어 와서 문제를 발견했을 때 분기마다 한 번씩 수행한다는 것입니다. 글쎄, 그게 너무 늦었 어. 감사가 있고, 감사자가 있고, 보고서를 원하고, 그것을 신고한다. 그리고 우리는 마크를 얻거나 들었습니다.이 문제를 해결해야합니다. 그리고 그것이 일어날 곳입니다. 위험을 찾고 위험을 완화 할 수있는보다 능동적 인 유형일 것입니다. 고객이 찾고있는 것 감사관이 들어 와서 접근이 필요하지 않은 곳, 접근 권한이없는 곳, 다른 사람이 관리 권한을 가지고 있지 않아야 할 때 이러한 유형의 사물을 가져야 할 때 사후 대응과는 달리 다소 사전 예방 적 방법. 그리고 우리는 사람들이 도구를 좋아하고 그것을 사용하고 있다는 많은 피드백을 보았습니다.
로빈 블로어 박사 : 좋아, 또 다른 질문은 분명한 질문이기도하지만 궁금한 점이 있습니다. 해킹 후 실제로 얼마나 많은 사람들이 당신에게 왔습니까? 아시다시피, 당신은 그들이 환경을 보았고 훨씬 더 체계적인 방식으로 보안을 확보해야한다고 생각했기 때문에 사업을하고있는 것이 아니라 실제로는 이미 고통.
이그나시오 로드리게즈 : 이데 라에있는 시간에는 하나도 보지 못했습니다. 솔직히 말해서, 내가 관여했던 고객과의 대부분의 상호 작용은 더 기대하고 감사를 시작하고 권한 등을보기 시작했습니다. 내가 말했듯이, 나는 나 자신이 있고, 내 시간에 경험이 없었으며, 우리는 내가 알고있는 위반 후 오는 사람을 가졌습니다.
로빈 블로어 박사 : 아, 흥미 롭습니다. 나는 최소한 몇 개는있을 것이라고 생각했을 것입니다. 저는 실제로 이것을보고 있지만, 모든 방법과 모든 활동에서 실제로 전사적으로 데이터를 보호하는 모든 복잡성을 추가하고 있습니다. 사람들을 돕기 위해 직접 컨설팅을 제공합니까? 내 말은, 당신이 도구를 살 수 있다는 것은 분명하지만, 내 경험상 사람들은 종종 정교한 도구를 사서 매우 나쁘게 사용합니다. 무엇을해야하는지, 누가 훈련을해야하는지, 그런 것들을 구체적으로 상담합니까?
이그나시오 로드리게스 (Ignacio Rodriguez) : 서비스를 지원하는 한, 그 중 일부가 발생할 수있는 몇 가지 서비스가 있습니다. 그러나 컨설팅에 관한 한, 우리는 컨설팅 서비스를 제공하지 않지만 훈련, 도구, 그와 같은 도구를 사용하는 방법 중 일부는 지원 수준으로 해결됩니다. 그러나 그 자체로는 서비스 부서가 없어서 그렇게합니다.
로빈 블로어 박사 : 좋습니다. 여기서 다루는 데이터베이스와 관련하여 여기서는 Microsoft SQL Server에 대해서만 언급합니다. Oracle도 마찬가지입니까?
이그나시오 로드리게스 : 규정 준수 관리자를 통해 Oracle 영역으로 먼저 확장 할 예정입니다. 우리는이를 통해 프로젝트를 시작할 것이므로 이것을 오라클로 확장하는 것을 고려할 것입니다.
로빈 블로어 박사 : 그리고 다른 곳으로 갈 가능성이 있습니까?
이그나시오 로드리게즈 : 예, 로드맵을 살펴보고 상황이 어떤지 살펴 봐야 할 것이지만, 우리가 고려하고있는 것은 다른 데이터베이스 플랫폼도 공격해야하는 것입니다.
로빈 블로어 박사 : 저는이 분할에 관심이 있었는데, 이것에 대한 선입견은 없었지만 배포 측면에서 실제로 클라우드에 얼마나 많이 배포되고 있는지, 아니면 거의 모든 사내입니까? ?
이그나시오 로드리게스 : 모든 사내. 우리는 Azure를 커버하기 위해 Secure를 확장하고 있습니다.
로빈 블로어 박사 : 그것은 Azure의 문제였습니다. 아직 거기에 없지만 당신은 거기에 가고 있습니다.
이그나시오 로드리게스 : 예, 우리는 곧 거기에 갈 것입니다.
Robin Bloor 박사 : 예, Microsoft의 이해는 Azure의 Microsoft SQL Server에 대해 엄청나게 많은 행동이 있다는 것입니다. 그들이 원한다면 그것이 제공하는 것의 핵심 부분이되고 있습니다. 제가 관심이있는 또 다른 질문은 기술적 인 것이 아니고 어떻게 할 일인지 궁금한 질문입니다. 구매자는 누구입니까? IT 부서에서 접근하고 있습니까, 아니면 CSO에서 접근하고 있습니까, 아니면 다른 사람들입니까? 이와 같은 것을 고려할 때 환경을 보호하기 위해 일련의 일을 보는 것입니까? 어떤 상황이 있습니까?
이그나시오 로드리게즈 : 그것은 혼합입니다. 우리는 CSO가 있는데, 영업 팀이 DBA와 연락하고 대화 할 때가 많습니다. 그런 다음 DBA는 일종의 감사 프로세스 정책을 마련하는 데 합의했습니다. 그런 다음 도구를 평가하고 체인을보고 구매하려는 부분을 결정합니다. 그러나 그것은 우리에게 연락 할 사람의 혼합 가방입니다.
로빈 블로어 박사 : 좋습니다. 우리가 시간을 다했기 때문에 에릭에게 손을 돌려 줄 것이라고 생각하지만, 청중들에게 질문이있을 수 있습니다. 에릭?
Eric Kavanagh : 네, 물론 우리는 여기에 많은 좋은 내용을 태워 버렸습니다. 다음은 참석자 중 한 명에게 당신에게 던질 정말 좋은 질문입니다. 그는 블록 체인과 당신이 말하는 것에 대해 이야기하고 있으며, SQL 데이터베이스의 읽기 전용 부분을 블록 체인이 제공하는 것과 유사한 것으로 마이그레이션 할 수있는 방법이 있습니까? 그것은 힘든 일입니다.
이그나시오 로드리게스 : 예, 당신에게 솔직하게 대답 할 것입니다.
에릭 카바나 흐 : 로빈에게 넘겨 줄 게요. 나는 그 질문을 들었는지 모르겠지만, Robin은 단지 묻고 있습니다 .SQL 데이터베이스의 읽기 전용 부분을 블록 체인이 제공하는 것과 비슷한 것으로 마이그레이션 할 수 있습니까? 그것에 대해 어떻게 생각하세요?
Robin Bloor 박사 : 데이터베이스를 마이그레이션하려는 경우 데이터베이스 트래픽도 마이그레이션하는 것과 같습니다. 그렇게하는 데는 복잡성이 있습니다. 그러나 데이터를 불가피하게 만드는 것 이외의 다른 이유로는 그렇게하지 않을 것입니다. 블록 체인은 액세스 속도가 느려질 것이므로 속도가 당신의 일이고 거의 항상 그 일이라면 당신은 그것을하지 않을 것입니다. 그러나 이런 종류의 일을하는 사람들에게 일부의 암호화 된 액세스를 제공하려면 그렇게 할 수 있지만, 그럴만한 이유가 있어야합니다. 당신은 그것을있는 그대로두고 그것을있는 곳에 둘 가능성이 훨씬 높습니다.
Dez Blanchfield : 네, 제가 빨리 무게를 낼 수 있다면 나는 그것에 동의합니다. 블록 체인, 심지어 공개적으로 존재하는 블록 체인의 문제는 비트 코인에서 사용됩니다. 우리는 분당 4 개의 트랜잭션을 완전히 분산 된 방식으로 확장 할 수 없다는 것을 알게되었습니다. 컴퓨팅 문제로 인해 그다지 많지는 않지만 전체 노드는 데이터베이스 볼륨이 앞뒤로 이동하고 복사되는 데이터의 양이 메가뿐만 아니라 지금 당장 공연되어 있기 때문에 유지하기가 어렵다는 것을 알게되었습니다.
또한 데이터베이스의 모든 것이 중앙 위치로 가져오고 클라이언트 서버 유형 모델이 있기 때문에 응용 프로그램의 아키텍처를 변경해야한다는 것이 주요 과제라고 생각합니다. 블록 체인은 그 반대입니다. 배포 된 사본에 관한 것입니다. 여러 가지면에서 BitTorrent와 비슷하며 동일한 사본에 많은 사본이 있습니다. 그리고 Cassandra 및 메모리 내 데이터베이스를 배포하는 분산 서버와 같이 많은 서버가 분산 인덱스에서 동일한 데이터의 복사본을 제공 할 수 있습니다. 로빈은 두 가지 핵심 부분이 있다고 생각합니다. 하나는 보안을 유지하고 도난 당하거나 해킹 당할 수 없는지 확인하는 것이지만 훌륭하지만 아직 트랜잭션 플랫폼은 아닙니다. 비트 코인 프로젝트에서 경험했습니다. 그러나 이론적으로 다른 사람들이 그것을 해결했습니다. 또한 건축 적으로 많은 응용 프로그램은 블록 체인에서 쿼리하고 읽는 방법을 모릅니다.
거기서해야 할 일이 많이 있습니다. 그러나 나는 거기에 질문이있는 핵심 포인트가 가능하다면 그것을 그것을 블록 체인으로 옮긴다는 이론적 근거라고 생각합니다. 질문이 제기되는 질문은 데이터베이스에서 데이터를 가져 와서 어떤 형태로 넣을 수 있습니까? 더 안전한가요? 답은 데이터베이스에 그대로두고 암호화하면됩니다. 현재 많은 기술이 있습니다. 미사용 또는 이동중인 데이터 만 암호화하십시오. 메모리와 디스크의 데이터베이스에 데이터를 암호화 할 수없는 이유는 없습니다. 이는 단일 아키텍처 변경이 없기 때문에 훨씬 간단한 문제입니다. 대부분의 데이터베이스 플랫폼은 실제로 활성화되는 기능 일뿐입니다.
에릭 카바나 : 네, 마지막 질문이 하나 있습니다.이기. 꽤 좋은 것입니다. SLA 및 용량 계획 관점에서 시스템을 사용하면 어떤 세금이 있습니까? 다시 말해, 프로덕션 데이터베이스 시스템에서 누군가 IDERA의 기술을 여기에 포함시키려는 경우 추가 대기 시간 또는 처리량 오버 헤드가 있습니까?
이그나시오 로드리게스 : 우리는 실제로 큰 영향을받지 않습니다. 다시 말하지만 에이전트없는 제품이며 앞에서 언급했듯이 스냅 샷에 따라 달라집니다. 보안은 스냅 샷을 기반으로합니다. 거기에 가서 실제로 선택한 간격에 따라 거기에 나갈 작업을 만듭니다. 다시, 매주, 매일, 매월 수행하고 싶습니다. 거기서 나가서 해당 작업을 실행 한 다음 인스턴스에서 데이터를 수집합니다. 이 시점에서로드가 관리 및 수집 서비스로 돌아옵니다. 일단 비교와 모든 작업을 시작하면 데이터베이스의로드가 그 부분에 영향을 미치지 않습니다. 비교 및 모든보고 및 모든 작업을 수행하는 한 모든로드가 이제 관리 및 수집 서버에 있습니다. 데이터베이스에 도달하는 유일한 시간은 항상 실제 스냅 샷을 수행 할 때입니다. 그리고 실제로 프로덕션 환경에 해롭다는보고는 없었습니다.
에릭 카바나 : 네, 거기가 정말 좋은 지적입니다. 기본적으로 스냅 샷 수, 시간 간격 및 발생 가능성에 따라 매우 지능적인 아키텍처를 설정할 수 있습니다. 좋은 일이야. 글쎄, 너희들은 우리가 쇼의 첫 25 분 동안 우리가 이야기했던 해커들로부터 우리를 보호하기 위해 전선에 나섰다. 그리고 그들은 저 밖에 있습니다. 여러분, 실수하지 마십시오.
자, 우리는이 웹 캐스트, 아카이브에 대한 링크를 우리 사이트 insideanalysis.com에 게시 할 것입니다. 당신은 SlideShare에서 물건을 찾을 수 있습니다, 당신은 YouTube에서 찾을 수 있습니다. 그리고 사람들, 좋은 것들. 시간 내 주셔서 감사합니다, 이기, 나는 당신의 별명을 사랑합니다. 그것으로 우리는 작별 인사를 할 것입니다. 시간과 관심에 감사드립니다. 다음에 연락 드리겠습니다. 안녕.
