À emporter: L’animateur Eric Kavanagh discute de la sécurité des bases de données avec Robin Bloor, Dez Blanchfield et IDERAs Ignacio Rodriguez.
Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.
Eric Kavanagh: Bonjour et bienvenue de nouveau à Hot Technologies. Je m'appelle Eric Kavanagh; Je serai votre hôte pour la diffusion Web aujourd’hui et c’est un sujet brûlant qui ne sera jamais un sujet brûlant. Franchement, c’est un sujet brûlant à cause de toutes les failles dont nous entendons parler et je peux vous garantir que cela ne disparaîtra jamais. Donc, le sujet d’aujourd’hui, le titre exact de la série, je devrais dire, est «La nouvelle norme: faire face à la réalité d’un monde incertain». C’est exactement ce à quoi nous sommes confrontés.
Nous avons votre hôte, le vôtre vraiment, juste là. Remarquez que, depuis quelques années, je devrais probablement mettre à jour ma photo; C'était 2010. Le temps passe vite. moi un avec si vous voulez faire quelques suggestions. Il s’agit donc de notre diapositive «à chaud» standard pour Hot Technologies. Le but de ce spectacle est vraiment de définir un espace particulier. Donc, aujourd’hui, nous parlons de sécurité, évidemment. Nous prenons un angle très intéressant avec nos amis d’IDERA.
Et je ferai remarquer que vous, en tant que membres de notre auditoire, jouez un rôle important dans le programme. S'il vous plaît ne soyez pas timide. Nous posons une question à tout moment et nous la ferons la queue pour la séance de questions-réponses si nous en avons le temps. Robin Bloor, Dez Blanchfield et Ignacio Rodriguez, qui appelle depuis un lieu inconnu, sont aujourd'hui en ligne. Alors tout d’abord, Robin, vous êtes le premier présentateur. Je vais vous remettre les clés. Emportez-le.
Dr Robin Bloor: Ok, merci pour ça, Eric. Sécurisation de la base de données - je suppose que nous pourrions dire que la probabilité que les données les plus précieuses qu'une société préside réellement se trouve dans une base de données. Donc, il y a toute une série de sujets de sécurité dont nous pourrions parler. Mais ce que je pensais faire, c’est discuter de la sécurisation de la base de données. Je ne veux rien enlever à la présentation d’Ignacio.
Commençons donc par: il est facile de concevoir la sécurité des données comme une cible statique, mais ce n’est pas le cas. C’est une cible mouvante. Et il est important de comprendre cela dans la mesure où la plupart des environnements informatiques, en particulier ceux des grandes entreprises, changent constamment. Et comme ils changent tout le temps, la surface d’attaque, les zones dans lesquelles une personne peut tenter, d’une manière ou d’une autre, de l’intérieur ou de l’extérieur, de compromettre la sécurité des données, changent constamment. Et quand vous faites quelque chose comme, vous mettez à niveau une base de données, vous ne pouvez pas savoir si vous vous êtes simplement, en faisant cela, créé une sorte de vulnérabilité pour vous-même. Mais vous n’êtes pas au courant et n’allez peut-être jamais rien savoir avant que quelque chose de moche ne se produise.
Voici un bref aperçu de la sécurité des données. Tout d’abord, le vol de données n’a rien de nouveau et les données utiles sont ciblées. Normalement, il est facile de déterminer pour une organisation les données sur lesquelles elle a le plus besoin de protéger. Un fait curieux est que le premier, ou ce que nous pourrions prétendre être le premier ordinateur, a été construit par les services de renseignement britanniques pendant la Seconde Guerre mondiale dans un seul but: voler des données à des communications allemandes.
Le vol de données fait donc partie de l’industrie informatique depuis le début. C'est devenu beaucoup plus grave avec la naissance d'Internet. Je regardais un journal du nombre de violations de données qui se produisaient année après année. Et ce nombre avait grimpé au-dessus de 100 en 2005 et à partir de ce moment-là, il a tendance à s’aggraver chaque année.
De plus grandes quantités de données sont volées et un plus grand nombre de piratages ont lieu. Et ce sont les hacks qui sont rapportés. Il y a un très grand nombre d'incidents où la société ne dit jamais rien parce que rien ne l'oblige à rien dire. Ainsi, la violation de données reste silencieuse. Il existe de nombreux acteurs dans le secteur du piratage informatique: gouvernements, entreprises, groupes de hackers, individus.
Une chose que je pense juste qu’il est intéressant de mentionner, lorsque je suis allé à Moscou, c’était il ya environ quatre ans, c’était une conférence sur les logiciels à Moscou. Je parlais avec un journaliste spécialisé dans le piratage de données. Et il a prétendu - et je suis sûr qu'il a raison, mais je ne le sais pas, à part qu'il est la seule personne à me l'avoir mentionné, mais - il y a une entreprise russe appelée The Russian Business Network, elle a probablement un russe nom, mais je pense que c'est la traduction anglaise de celui-ci, qui est en fait embauché pour pirater.
Ainsi, si vous êtes une grande organisation, où que vous soyez dans le monde, et que vous vouliez faire quelque chose qui nuise à votre concurrence, vous pouvez engager ces personnes. Et si vous engagez ces personnes, vous obtenez un déni très plausible quant à savoir qui était derrière le hack. Parce que s’il est possible de découvrir qui est derrière le hack, cela signifiera que c’est probablement quelqu'un en Russie qui l’a fait. Et il ne semblera pas que vous essayez d’endommager un concurrent. Et je crois que le gouvernement russe a en fait engagé The Russian Business Network pour tenter, entre autres, de pirater les banques afin de découvrir comment l'argent du terrorisme circule. Et cela se fait avec déni plausible de la part de gouvernements qui n’admettront jamais qu’ils ont réellement fait cela.
La technologie d'attaque et de défense évolue. Il y a longtemps, je fréquentais le club du chaos. C’était un site en Allemagne où vous pouviez vous inscrire et suivre les conversations de différentes personnes et voir ce qui était disponible. Et je l'ai fait lorsque je me suis penché sur la technologie de sécurité, je pense vers 2005. Et je l'ai fait juste pour voir ce qui se passait à ce moment-là et ce qui m'a étonné, c'est le nombre de virus, où il s'agissait essentiellement d'un système à code source ouvert Je continuais et les personnes qui avaient écrit des virus ou des virus améliorés ne faisaient que coller le code là-bas pour que quiconque puisse les utiliser. Et j’ai réalisé à l’époque que les pirates informatiques pouvaient être très très intelligents, mais il y a énormément de pirates informatiques qui ne sont pas forcément intelligents du tout, mais ils utilisent des outils intelligents. Et certains de ces outils sont remarquablement intelligents.
Et le dernier point ici: les entreprises ont le devoir de prendre soin de leurs données, qu’elles en soient propriétaires ou non. Et je pense que cela devient de plus en plus réalisé. Et cela devient de plus en plus cher, disons, pour une entreprise de subir un piratage. En ce qui concerne les hackers, ils peuvent être situés n’importe où, voire difficiles à traduire en justice même s’ils sont correctement identifiés. Beaucoup d'entre eux très qualifiés. Des ressources considérables, ils ont des réseaux de zombies un peu partout. La récente attaque par DDoS qui aurait eu lieu proviendrait d'un milliard d'appareils. Je ne sais pas si cela est vrai ou s’il s’agit simplement d’un journaliste qui utilise un numéro rond, mais un grand nombre de robots ont certainement été utilisés pour attaquer le réseau DNS. Certaines entreprises rentables, il y a des groupes gouvernementaux, il y a la guerre économique, il y a la cyberguerre, tout se passe, et il est peu probable, je pense que nous disions dans le pré-spectacle, que cela ne risque jamais de se terminer.
Conformité et réglementation - un certain nombre de choses se passent réellement. De nombreuses initiatives de conformité basées sur le secteur, vous le savez - le secteur pharmaceutique, le secteur bancaire ou le secteur de la santé - peuvent comporter des initiatives spécifiques que les gens peuvent suivre, diverses sortes de meilleures pratiques. Mais il existe également de nombreux règlements officiels qui, en raison de leur loi, prévoient des sanctions pour quiconque enfreint la loi. Les exemples américains sont HIPAA, SOX, FISMA, FERPA, GLBA. PCI-DSS est un standard pour les sociétés de cartes. ISO / IEC 17799 est basé sur l’obtention d’une norme commune. C'est la propriété des données. Les réglementations nationales diffèrent d’un pays à l’autre, même en Europe, ou peut-être faut-il dire, surtout en Europe où la situation est très confuse. Et il y a un RPGD, un règlement mondial sur la protection des données en cours de négociation entre l'Europe et les États-Unis pour tenter d'harmoniser les règlements, car il y en a tellement, généralement comme ils sont, en réalité, internationaux, et puis il y a des services en nuage que vous pourriez Je ne pense pas que vos données soient internationales, mais elles sont devenues internationales dès que vous êtes entrées dans le nuage, car elles ont quitté votre pays. Il s'agit donc d'un ensemble de réglementations en cours de négociation, d'une manière ou d'une autre, pour traiter de la protection des données. Et la plupart de cela a à voir avec les données d'un individu, qui, bien sûr, comprend à peu près toutes les données d'identité.
Points à prendre en compte: les vulnérabilités de la base de données. Il existe une liste de vulnérabilités connues et signalées par les fournisseurs de base de données lorsqu’elles sont détectées et corrigées aussi rapidement que possible. Il y a donc tout cela. Il y a des choses qui s'y rapportent pour identifier les données vulnérables. L'un des plus gros et des plus performants piratages de données de paiement a été confié à une société de traitement de paiements. Celle-ci a ensuite été prise en charge car elle devait être mise en liquidation si ce n’était pas le cas, mais les données n’ont été volées dans aucune des bases de données opérationnelles. Les données ont été volées d'une base de données de test. Il se trouve que les développeurs venaient de prendre un sous-ensemble de données réelles et de l’utiliser, sans aucune protection, dans une base de données de test. La base de données de test a été piratée et de très nombreuses informations financières personnelles ont été extraites.
La politique de sécurité, en particulier en ce qui concerne la sécurité d'accès en ce qui concerne les bases de données, qui peut lire, qui peut écrire, qui peut accorder des autorisations, existe-t-il un moyen que quiconque puisse contourner cela? Ensuite, bien sûr, les cryptages des bases de données le permettent. Il y a le coût d'une atteinte à la sécurité. Je ne sais pas si c’est une pratique courante au sein des organisations, mais je sais que certains responsables de la sécurité essaient de donner aux responsables une idée du coût réel d’une violation de la sécurité avant qu’elle se produise. Et ils doivent, en quelque sorte, faire cela pour s’assurer qu’ils disposent du budget adéquat pour pouvoir défendre l’organisation.
Et puis la surface d'attaque. La surface d'attaque semble grandir tout le temps. C’est d’année en année que la surface d’attaque semble s’amplifier. En résumé, la plage est un autre point, mais la sécurité des données fait généralement partie du rôle du DBA. Mais la sécurité des données est aussi une activité collaborative. Si vous faites de la sécurité, vous devez avoir une idée complète des protections de sécurité de l’organisation dans son ensemble. Et il doit y avoir une politique d'entreprise à ce sujet. S'il n'y a pas de stratégie d'entreprise, vous vous retrouvez avec des solutions au coup par coup. Vous savez, les élastiques et le plastique tentent en quelque sorte d'empêcher que la sécurité ne se produise.
Cela dit, je pense que je laisse la parole à Dez qui va probablement vous raconter diverses histoires de guerre.
Eric Kavanagh: Emporte-le, Dez.
Dez Blanchfield: Merci Robin. C’est toujours un acte difficile à suivre. Je vais en venir à l’opposé du spectre juste pour, je suppose, nous donner une idée de l’ampleur du défi auquel nous sommes confrontés et de la raison pour laquelle nous devrions faire plus que simplement rester assis et faire attention à cela. . Le défi que nous voyons actuellement avec l’ampleur, la quantité et le volume, la vitesse à laquelle ces choses se passent, c’est que c’est ce que j’entends partout avec beaucoup de CXO, pas seulement des DSI, mais certainement Les DSI sont ceux qui assistent là où la responsabilité est la plus grande, c'est qu'ils considèrent que les violations de données deviennent rapidement la norme. C’est quelque chose qu’ils attendent presque. Donc, ils examinent la situation du point de vue: «Bon, bon, quand nous sommes violés - pas si - quand nous le sommes, que devons-nous avoir fait à ce sujet?». Ensuite, les conversations commencent, que font-ils dans les environnements périphériques traditionnels et les routeurs, commutateurs, serveurs, détection d'intrusion, inspection d'intrusion? Que font-ils dans les systèmes eux-mêmes? Que font-ils avec les données? Et puis tout revient à ce qu'ils ont fait avec leurs bases de données.
Permettez-moi de mentionner quelques exemples de ces choses qui ont captivé l’imagination de beaucoup de gens, puis de les détailler, en quelque sorte, de les dissocier un peu. Nous avons donc appris dans les nouvelles que Yahoo - le chiffre le plus important que les gens aient entendu parler est d'environ un demi-million, mais il s'avère en fait que, officieusement, cela ressemble plus à un milliard - j'ai entendu dire un nombre étrange de trois milliards, mais c'est presque la moitié de la population mondiale, donc je pense que c'est un peu élevé. Mais j’ai fait vérifier par un certain nombre de personnes dans des espaces pertinents qui croient qu’un peu plus d’un milliard de disques ont été violés par Yahoo. Et ceci est juste un nombre ahurissant. Maintenant, certains joueurs pensent et pensent, eh bien, c’est juste des comptes de messagerie Web, ce n’est pas grave, mais vous ajoutez ensuite le fait que bon nombre de ces comptes de messagerie Web et un nombre curieusement élevé, plus élevé que prévu, sont en réalité des comptes payés. C'est là que les gens insèrent leurs informations de carte de crédit et paient pour supprimer les publicités, car ils en ont marre de ces publicités. Ils sont donc disposés à acheter un service de messagerie Web et de stockage sur le cloud sans annonces. et je suis l’un de ceux-ci, et c’est ce que je propose à trois fournisseurs différents où j’ai connecté ma carte de crédit.
Le défi retient donc un peu plus l’attention car ce n’est pas simplement quelque chose de banal qui dit: «Oh, Yahoo a perdu, disons, entre 500 millions et 1 000 millions de comptes», ce qui est 1 000 millions. Cela sonne très gros, et les comptes de messagerie Web, mais les détails de la carte de crédit, prénom, nom de famille, adresse, date de naissance, carte de crédit, numéro d'identification personnelle, tout ce que vous voulez, mots de passe, puis cela devient un concept beaucoup plus effrayant. Et encore une fois, les gens me disent: "Oui, mais c'est juste un service Web, c'est juste un webmail, c'est pas grave." Et ensuite, je dis: "Oui, eh bien, ce compte Yahoo a peut-être aussi été utilisé dans les services monétaires de Yahoo pour acheter et vendre des actions. »Ensuite, cela devient plus intéressant. Et lorsque vous commencez à approfondir, vous réalisez qu’en fait, c’est bien plus que des mères et des pères à la maison et des adolescents qui utilisent des comptes de messagerie, c’est en fait quelque chose dans lequel les gens effectuent des transactions commerciales.
C’est donc une extrémité du spectre. L'autre extrémité du spectre est qu'un très petit fournisseur de services de santé de pratique générale en Australie s'est fait voler environ 1 000 dossiers. Était-ce un travail interne, quelqu'un est parti, ils étaient juste curieux, ils sont sortis de la porte, dans ce cas, il s'agissait d'une disquette de 3,5 pouces. C'était il y a peu de temps - mais on peut dire de l'ère des médias - mais ils utilisaient une technologie ancienne. Mais il s’est avéré que la raison pour laquelle ils ont pris ces données est qu’ils étaient simplement curieux de savoir qui y était. Parce qu'ils avaient beaucoup de monde dans cette petite ville, notre capitale nationale, qui étaient des politiciens. Et ils se sont intéressés à savoir qui était à l'intérieur, où se trouvaient leurs vies et toutes sortes d'informations. Donc, avec une très petite violation de données qui a été faite en interne, un nombre considérable de politiciens dans les détails du gouvernement australien sont censés être rendus publics.
Nous avons deux extrémités différentes du spectre à considérer. Maintenant, la réalité est que l’ampleur de ces choses est vraiment stupéfiante et j’ai une diapositive à laquelle nous allons sauter très très vite. Il existe plusieurs sites Web répertoriant toutes sortes de données, mais celui-ci provient d'un spécialiste de la sécurité. Ce site Web vous permettait de rechercher votre adresse ou votre nom. Il vous montrera chaque incident de violation de données. Au cours des 15 dernières années, il a pu mettre la main sur, puis charger dans une base de données et vérifier, et il vous dira si vous avez été utilisé, comme le terme est. Mais lorsque vous commencez à regarder certains de ces chiffres et que cette capture d’écran n’a pas été mise à jour avec sa dernière version, qui en inclut quelques-uns, tels que Yahoo. Mais pensons simplement aux types de services proposés. Nous avons Myspace, nous avons LinkedIn, Adobe. Adobe est intéressant parce que les gens regardent et pensent, eh bien, que veut dire Adobe? La plupart d’entre nous qui téléchargeons Adobe Reader, nous avons acheté des produits Adobe avec une carte de crédit, ce qui représente 152 millions de personnes.
Auparavant, pour Robin, ce sont des chiffres très importants, il est facile d’être submergé par eux. Que se passe-t-il lorsque 359 millions de comptes ont été piratés? Eh bien, il y a plusieurs choses. Robin a souligné le fait que ces données sont invariablement dans une base de données de quelque forme que ce soit. C’est la critique ici. À ma connaissance, presque personne sur cette planète ne gère un système, sous quelque forme que ce soit, ne le stocke pas dans une base de données. Mais ce qui est intéressant, c’est que cette base de données contient trois types de données. Il existe des éléments liés à la sécurité, tels que les noms d'utilisateur et les mots de passe, qui sont généralement cryptés, mais il existe invariablement de nombreux exemples où ils ne le sont pas. Il existe des informations sur les clients concernant leur profil et les données qu’ils ont créées, qu’il s’agisse d’un enregistrement de santé ou d’un instant. Et puis il y a la logique embarquée réelle, donc cela pourrait être des procédures stockées, cela pourrait être tout un tas de règles, si + ceci + alors + cela. Et invariablement, il n’ya que l'ASCII coincé dans la base de données, très peu de gens se disent: «Ce sont des règles commerciales, voici comment nos données sont déplacées et contrôlées. Nous devrions potentiellement les chiffrer quand elles sont en repos et en mouvement. peut-être le décrypterons-nous et le garderons-nous dans la mémoire », mais dans l'idéal, cela devrait probablement l'être aussi.
Mais il en résulte que toutes ces données se trouvent dans une base de données de quelque forme que ce soit et que le plus souvent, l’accent est mis sur les routeurs, les commutateurs et les serveurs, et même sur le stockage, et pas toujours sur la base de données le dos.Parce que nous pensons que nous avons couvert le bord du réseau et que c'est, en quelque sorte, un vieil homme typique, vivant dans un château et que vous mettez un fossé autour de lui et que vous espérez que les méchants ne s'en vont pas être capable de nager. Mais tout à coup, les méchants ont découvert comment faire pour construire de longues échelles et les jeter par-dessus le fossé, puis franchir le fossé et escalader les murs. Et tout à coup, votre fossé est quasiment inutile.
Nous sommes donc maintenant dans le scénario où les organisations sont en mode de rattrapage dans un délai de. À mon avis, et certainement à mon expérience, ils chantent littéralement dans tous les systèmes, en ce sens que ce ne sont pas toujours ces licornes Web, comme nous les appelons souvent, mais le plus souvent, ce sont les organisations d’entreprises traditionnelles violées. Et vous n’avez pas besoin de beaucoup d’imagination pour savoir qui ils sont. Il y a des sites comme celui-ci appelé pastebin.net et si vous allez à pastebin.net et que vous tapez simplement une liste ou une liste de mots de passe, vous vous retrouverez avec des centaines de milliers d'entrées par jour qui sont ajoutées et où des personnes répertorient des ensembles de données d'exemple. en passant à mille enregistrements de prénom, nom de famille, détails de carte de crédit, nom d'utilisateur, mot de passe, mots de passe décryptés. Là où les gens peuvent se saisir de cette liste, allez vérifier trois ou quatre d’entre eux et décidez que, oui, je veux acheter cette liste et il existe généralement une sorte de mécanisme fournissant une sorte de passerelle anonyme à la personne vendant les données.
Ce qui est intéressant, c’est qu’une fois que l’entrepreneur affilié réalise qu’il peut le faire, il ne faut pas beaucoup d’imagination pour se rendre compte que si vous dépensez 1 000 USD pour l’achat d’une de ces listes, quelle est la première chose à faire? Vous n’allez pas essayer de suivre les comptes, vous en remettez une copie sur pastbin.net, vous vendez deux copies à 1 000 dollars chacune et vous réalisez un bénéfice de 1 000 dollars. Et ce sont des enfants qui le font. De très grandes organisations professionnelles à travers le monde font cela pour gagner leur vie. Il y a même des États-nations qui attaquent d'autres États. Vous savez, on parle beaucoup d’Amérique attaquant la Chine, la Chine attaquant l’Amérique, ce n’est pas aussi simple, mais il existe clairement des organisations gouvernementales qui violent les systèmes qui sont invariablement alimentés par des bases de données. Ce n’est pas seulement un cas de petites organisations, c’est aussi des pays contre des pays. Cela nous ramène à la question de savoir où sont stockées les données. C’est dans une base de données. Quels contrôles et mécanismes y a-t-il? Ou invariablement, elles ne sont pas cryptées, et si elles sont cryptées, toutes les données ne sont pas toujours disponibles, c’est peut-être simplement le mot de passe qui est salé et crypté.
Et, autour de cela, nous avons toute une gamme de défis à relever concernant le contenu de ces données et la manière dont nous fournissons un accès aux données et à la conformité SOX. Donc, si vous pensez à la gestion de patrimoine ou à la banque, vous avez des entreprises qui s’inquiètent du défi des informations d'identification; vous avez des entreprises qui se préoccupent de la conformité dans leur espace de travail; vous avez la conformité du gouvernement et les exigences réglementaires; vous avez maintenant des scénarios dans lesquels nous avons des bases de données sur site; nous avons des bases de données dans des centres de données tiers; Nous avons des bases de données dans des environnements en nuage, de sorte que ses environnements en nuage ne sont pas toujours présents dans le pays. C’est donc un défi de plus en plus important, non seulement du point de vue de la sécurité pure, mais également de la manière dont nous respectons les différents niveaux de conformité. Pas seulement les normes HIPAA et ISO, mais il y en a littéralement des dizaines, des dizaines et des dizaines, au niveau des États, au niveau national et au niveau mondial, qui transcendent les frontières. Si vous faites affaire avec l’Australie, vous ne pouvez pas transférer de données gouvernementales. Aucune donnée privée australienne ne peut quitter la nation. Si vous êtes en Allemagne, c'est encore plus sévère. Et je sais que les États-Unis agissent très rapidement sur ce point pour diverses raisons également.
Mais cela me ramène à nouveau à tout ce défi: comment savoir ce qui se passe dans votre base de données, comment le surveiller, comment savoir qui fait quoi dans la base de données, qui a la possibilité de visualiser différentes tables, rangées, colonnes et champs , quand le lisent-ils, à quelle fréquence le lisent-ils et qui le suit? Et je pense que cela m’amène à mon dernier point avant de passer la parole à notre invité d’aujourd’hui qui va nous aider à parler de la façon dont nous résolvons ce problème. Mais je veux nous laisser avec cette seule pensée, à savoir que l’accent est principalement mis sur les coûts pour l’entreprise et pour l’entreprise. Et nous n’allons pas aborder ce point en détail aujourd’hui, mais je tiens simplement à garder cela à l’esprit pour réfléchir. C’est une estimation d’environ 135 dollars américains et de 585 dollars américains par disque à nettoyer après une faille. Donc, l'investissement que vous faites dans votre sécurité autour des routeurs, des commutateurs et des serveurs est tout à fait bon et pare-feu, mais combien avez-vous investi dans la sécurité de votre base de données?
Mais c’est une fausse économie et lorsque la faille Yahoo a eu lieu récemment, et je l’ai sous la bonne autorité, il s’agit d’un milliard de comptes et non de 500 millions. Lorsque Verizon a acheté l’organisation pour quelque 4,3 milliards d’euros, dès que l’atteinte a été commise, ils ont demandé un remboursement d’un milliard de dollars ou un rabais. Maintenant, si vous faites le calcul et que vous dites qu’il ya environ un milliard de records qui ont été violés, un escompte d’un milliard de dollars, l’estimation de 135 $ à 535 $ pour le nettoyage d’un record devient maintenant 1 $. Ce qui, encore une fois, est une farce. Nettoyer un milliard d’enregistrements ne coûte pas 1 $. À un dollar par disque, nettoyer un milliard de disques pour une violation de cette taille. Vous ne pouvez même pas publier un communiqué de presse pour ce genre de coût. Nous nous concentrons donc toujours sur les défis internes.
Mais l’une des choses, je pense, et il nous incombe de prendre cela très au sérieux au niveau de la base de données, c’est pourquoi il est très important de parler de ce sujet, c’est que nous ne parlons jamais de l’être humain. péage. Quel est le bilan humain que nous subissons à ce sujet? Et je vais prendre un exemple avant de terminer rapidement. LinkedIn: en 2012, le système LinkedIn a été piraté. Il y avait un certain nombre de vecteurs et je ne vais pas entrer dans cela. Et des centaines de millions de comptes ont été volés. Les gens disent environ 160 millions de dollars, mais il s’agit d’un nombre beaucoup plus important qui pourrait atteindre 240 millions. Mais cette violation n’a été annoncée que plus tôt cette année. C’est quatre ans que des centaines de millions de personnes ont été enregistrées. Maintenant, il y avait des gens qui payaient pour des services avec des cartes de crédit et d'autres avec des comptes gratuits. Mais LinkedIn est intéressant, car non seulement ils ont accès aux détails de votre compte en cas de violation, mais ils ont également accès à toutes les informations de votre profil. Ainsi, à qui vous étiez connecté et tous les contacts que vous aviez, et les types d’emplois qu’ils avaient et les types de compétences qu’ils avaient et combien de temps ils avaient travaillé dans des entreprises et toutes sortes d’informations et leurs coordonnées.
Alors réfléchissez au défi que nous avons à sécuriser les données de ces bases de données, et à sécuriser et gérer les systèmes de bases de données eux-mêmes, et le flux d’impact, le bilan humain de ces données étant disponible depuis quatre ans. Et la probabilité que quelqu'un vienne pour des vacances quelque part en Asie du Sud-Est et dispose de ses données depuis quatre ans. Et il se peut que quelqu'un ait acheté une voiture ou un prêt immobilier ou acheté dix cartes téléphoniques sur dix téléphones au cours de l'année, créant une fausse identité sur ces données datant de quatre ans - car même les données de LinkedIn vous ont fourni suffisamment d'informations pour: Créez un compte bancaire et une fausse carte d'identité. Vous montez dans l'avion, vous partez en vacances, vous atterrissez et vous êtes jeté en prison. Et pourquoi êtes-vous jeté en prison? Eh bien, parce qu'on vous a volé votre carte d'identité. Quelqu'un a créé une fausse identité et a agi comme vous et des centaines de milliers de dollars. Ils le faisaient depuis quatre ans et vous ne le saviez même pas. Parce que c’est là-bas, c’est arrivé.
Je pense donc que cela nous amène à ce défi fondamental: comment savoir ce qui se passe dans nos bases de données, comment le suivre, comment le surveiller? Et je suis impatient d’entendre comment nos amis de l’IDERA ont trouvé une solution à ce problème. Et avec cela, je vais remettre.
Eric Kavanagh: Très bien, Ignacio, la parole est à vous.
Ignacio Rodriguez: Bien. Bienvenue à tous. Je m'appelle Ignacio Rodriguez, mieux connu sous le nom d'Iggy. Je suis avec IDERA et un chef de produit pour les produits de sécurité. Vraiment de bons sujets que nous venons de traiter, et nous devons vraiment nous préoccuper des violations de données. Nous avons besoin de politiques de sécurité renforcées, nous devons identifier les vulnérabilités et évaluer les niveaux de sécurité, contrôler les autorisations des utilisateurs, contrôler la sécurité du serveur et se conformer aux audits. J'ai déjà effectué des audits dans mon passé, principalement du côté Oracle. J'en ai fait sur SQL Server et je le faisais avec des outils ou, en gros, avec des scripts maison, ce qui était génial, mais vous devez créer un référentiel et vous assurer que le référentiel est sécurisé, en ayant constamment à gérer les scripts avec les modifications apportées par les auditeurs. , Qu'avez vous.
Donc, dans les outils, si j’avais su que IDERA était là et avait un outil, je l’aurais probablement acheté. Quoi qu’il en soit, nous allons parler de Secure. C’est l’un de nos produits de notre gamme de produits de sécurité et, fondamentalement, nous examinons les politiques de sécurité et les adaptons aux directives réglementaires. Vous pouvez afficher un historique complet des paramètres SQL Server et vous pouvez également en faire une base, puis comparer avec les modifications futures. Vous pouvez créer un instantané, qui est une base de vos paramètres, puis être en mesure de suivre si l’une de ces choses a été modifiée et d’être alerté si elles le sont.
Une des choses que nous faisons bien est de prévenir les risques de sécurité et les violations. La fiche de sécurité vous donne un aperçu des principales vulnérabilités en matière de sécurité sur les serveurs. Chaque vérification de sécurité est également classée en risque élevé, moyen ou faible. Désormais, sur ces catégories ou contrôles de sécurité, ils peuvent tous être modifiés. Disons que si vous avez des contrôles et que vous utilisez l’un des modèles que nous avons et que vous décidez, eh bien, nos contrôles indiquent vraiment ou souhaitent que cette vulnérabilité ne soit pas vraiment élevée, mais plutôt moyenne. Certains peuvent être étiquetés comme étant de taille moyenne, mais dans votre organisation, les contrôles que vous souhaitez étiqueter ou considérer comme élevés, tous ces paramètres sont configurables par l'utilisateur.
Un autre problème critique que nous devons examiner est l’identification des vulnérabilités. Comprendre qui a accès à quoi et identifier chacun des droits effectifs de l’utilisateur sur tous les objets SQL Server. Grâce à cet outil, nous pourrons examiner les droits sur tous les objets SQL Server. Nous verrons bientôt une capture d'écran de cette image ici. Nous rapportons et analysons également les autorisations des utilisateurs, des groupes et des rôles. L'une des autres fonctionnalités est la production de rapports détaillés sur les risques de sécurité. Nous avons des rapports prêts à l'emploi et des paramètres flexibles vous permettant de créer les types de rapports et d'afficher les données requises par les auditeurs, les responsables de la sécurité et les responsables.
Nous pouvons également comparer les modifications apportées à la sécurité, aux risques et à la configuration au fil du temps, comme je l'ai mentionné. Et ce sont avec les instantanés. Et ces instantanés peuvent être configurés autant que vous le souhaitez - mensuels, trimestriels, annuels - qui peuvent être planifiés dans l'outil. Et, encore une fois, vous pouvez faire des comparaisons pour voir ce qui a changé. Ce qui est bien, c’est que si vous avez une violation, vous pouvez créer un instantané après sa correction, faire une comparaison et vous verrez qu’il ya eu une violation de haut niveau. Le risque associé à l’instantané précédent, puis au rapport, vous voyez en fait dans l’instantané suivant, après correction, que ce n’était plus un problème. C’est un bon outil d’audit que vous pouvez remettre à l’auditeur, un rapport que vous pouvez remettre aux auditeurs et vous dire: «Écoutez, nous avons eu ce risque, nous l’avons atténué et, maintenant, ce n’est plus un risque.» mentionné avec les instantanés, vous pouvez alerter quand une configuration est modifiée, et si une configuration est modifiée et est détectée, cela présente un nouveau risque, vous en serez également averti.
Nous avons quelques questions sur notre architecture SQL Server avec Secure, et je souhaite apporter une correction à la diapositive où il est écrit «Service de collecte». Nous n’avons aucun service, cela aurait dû être «Serveur de gestion et de collecte. «Nous avons notre console, puis notre serveur de gestion et de collecte, et nous avons une capture sans agent qui sera transmise aux bases de données enregistrées et rassemblera les données via des travaux. Et nous avons un référentiel SQL Server et nous travaillons avec SQL Server Reporting Services afin de planifier des rapports et de créer des rapports personnalisés. Maintenant, sur une fiche de sécurité, il s'agit du premier écran que vous verrez au démarrage de SQL Secure. Vous verrez facilement quels éléments critiques vous avez détectés. Et, encore une fois, nous avons les hauts, les moyens et les bas. Et puis nous avons aussi les politiques qui sont en jeu avec les contrôles de sécurité particuliers. Nous avons un modèle HIPAA; nous avons les modèles IDERA Security Level 1, 2 et 3; nous avons des directives PCI. Ce sont tous des modèles que vous pouvez utiliser et, encore une fois, vous pouvez créer votre propre modèle, basé sur vos propres contrôles. Et, encore une fois, ils sont modifiables. Vous pouvez créer le vôtre. Tous les modèles existants peuvent être utilisés comme base, vous pouvez ensuite les modifier à votre guise.
Une des bonnes choses à faire est de voir qui a les autorisations. Et avec cet écran, nous pourrons voir quelles sont les informations de connexion SQL Server sur l’entreprise et voir tous les droits et autorisations attribués et effectifs au niveau de la base de données du serveur. Nous faisons cela ici. Vous pourrez à nouveau sélectionner les bases de données ou les serveurs, puis extraire le rapport des autorisations SQL Server. Si capable de voir qui a quoi accès à quoi. Une autre fonctionnalité intéressante est que vous pourrez comparer les paramètres de sécurité. Supposons que vous ayez défini des paramètres standard dans l’ensemble de votre entreprise. Vous pourrez ensuite comparer tous vos serveurs et voir quels paramètres ont été définis sur les autres serveurs de votre entreprise.
Encore une fois, les modèles de politique, ce sont certains des modèles que nous avons. Encore une fois, vous utilisez l'un de ceux-ci et créez le vôtre. Vous pouvez créer votre propre politique, comme indiqué ici. Utilisez l'un des modèles et vous pouvez les modifier si nécessaire. Nous sommes également en mesure d’afficher les droits effectifs de SQL Server. Cela permettra de vérifier et de prouver que les autorisations sont correctement définies pour les utilisateurs et les rôles. Encore une fois, vous pouvez y aller et voir et vérifier et vérifier que les autorisations sont correctement définies pour les utilisateurs et les rôles. Ensuite, avec les droits d'accès aux objets SQL Server, vous pouvez parcourir et analyser l'arborescence d'objets SQL Server, du niveau serveur aux rôles et aux points de terminaison. Et vous pouvez visualiser instantanément les autorisations héritées attribuées et effectives et les propriétés liées à la sécurité au niveau de l'objet. Cela vous donne une bonne vue des accès que vous avez sur les objets de votre base de données et des personnes qui y ont accès.
Nous avons, encore une fois, nos rapports que nous avons. Il s’agit de rapports prédéfinis, nous en avons plusieurs que vous pouvez sélectionner afin d’effectuer vos rapports. Et beaucoup d'entre eux peuvent être personnalisés ou vous pouvez avoir vos rapports clients et les utiliser en conjonction avec les services de rapports et être en mesure de créer vos propres rapports personnalisés à partir de là. Maintenant, dans les comparaisons d’instantanés, c’est une fonctionnalité plutôt intéressante, je pense, qui vous permet de comparer les instantanés que vous avez pris et de vérifier s’il existe des différences de nombre. Des objets ont-ils été ajoutés? Des autorisations ont-elles été modifiées? Tout ce qui nous permet de voir quelles modifications ont été apportées entre les différents instantanés. Certaines personnes y jetteront un coup d'œil tous les mois. Elles feront un cliché mensuel, puis feront une comparaison mensuelle pour voir si quelque chose a changé. Et s’il n’y avait rien qui était censé avoir été modifié, si quelque chose a été envoyé aux réunions de contrôle des modifications et que certaines autorisations ont été modifiées, vous pouvez revenir en arrière pour voir ce qui s’est passé. C’est une fonctionnalité très intéressante qui permet de comparer à nouveau tout ce qui est audité dans l’instantané.
Ensuite, votre comparaison d'évaluation. Voici une autre fonctionnalité intéressante. Vous pouvez consulter les évaluations, les comparer et constater que la comparaison présente un compte SA qui n'a pas été désactivé dans cet instantané récent que j'ai effectué. est maintenant corrigé. C'est une très bonne chose pour laquelle vous pouvez montrer que, d'accord, nous avions certains risques, ils ont été identifiés par l'outil, et nous avons maintenant atténué ces risques. Et, encore une fois, c’est un bon rapport qui montre aux auditeurs que ces risques ont en fait été atténués et qu’ils ont été pris en charge.
En résumé, la sécurité des bases de données est essentielle, et je pense souvent que nous examinons les brèches provenant de sources externes et que nous ne prêtons parfois pas une attention excessive aux fuites internes. besoin de faire attention. Et Secure vous aidera à vous assurer qu’il n’y a pas de privilège qui ne doit pas être attribué, vous savez, assurez-vous que toute cette sécurité est correctement définie pour les comptes. Assurez-vous que vos comptes SA ont des mots de passe. Vérifie également que vos clés de chiffrement ont-elles été exportées? Nous vérifions simplement plusieurs éléments différents et nous vous avertirons du fait qu’il ya un problème et à quel niveau de problème il s’agit. Nous avons besoin d’un outil, de nombreux professionnels ont besoin d’outils pour gérer et surveiller les autorisations d’accès à la base de données. Nous cherchons en fait à fournir une capacité étendue de contrôle des autorisations de base de données, de suivre les activités d’accès et de limiter les risques de violation.
Une autre partie de nos produits de sécurité est qu’il existe un WebEx qui a été couvert et que la partie de la présentation dont nous avons parlé plus tôt était constituée de données. Vous savez qui a accès à quoi, quoi et vous, et c'est notre outil SQL Compliance Manager. Et il y a un WebEx enregistré sur cet outil et qui vous permettra de contrôler qui accède à quelles tables, quelles colonnes, vous pouvez identifier les tables ayant des colonnes sensibles, en ce qui concerne la date de naissance, les informations sur le patient, ces types de tables, etc. voir réellement qui a accès à cette information et si on y accède.
Eric Kavanagh: Très bien, passons maintenant aux questions, je suppose, ici. Peut-être, Dez, je vais tout d'abord vous le dire, et Robin, donnez ce que vous voulez.
Dez Blanchfield: Oui, j’avais hâte de poser une question à la 2Dakota du Nord et 3rd faire glisser.Quel est le cas d’utilisation typique de cet outil? Quels sont les types d’utilisateurs les plus courants que vous voyez qui l’adoptent et le mettent en jeu? Et à l'arrière de cela, le modèle de cas d'utilisation typique, en quelque sorte, comment vont-ils à ce sujet? Comment est-il mis en œuvre?
Ignacio Rodriguez: Le cas d’utilisation type est celui des administrateurs de base de données auxquels la responsabilité du contrôle d’accès de la base de données a été attribuée. Ils s’assurent que toutes les autorisations sont définies comme il se doit, puis en respectent le suivi et les normes en vigueur. Vous savez, ces comptes d’utilisateur ne peuvent avoir accès qu’à ces tables, etc. Et leur objectif est de s’assurer que ces normes ont été établies et que ces normes n’ont pas changé au fil du temps. Et c’est l’une des grandes choses pour lesquelles les gens l’utilisent, c’est de suivre et d’identifier si des changements sont faits et dont on ignore tout.
Dez Blanchfield: Parce qu’ils sont effrayants, non? Est-ce que vous pourriez avoir un, disons, un document de stratégie, vous avez des politiques qui sous-tendent cela, vous avez la conformité et la gouvernance sous-jacentes, et vous suivez les politiques, vous adhérez à la gouvernance et cela donne le feu vert puis tout à coup, un mois plus tard, quelqu'un propose un changement et, pour une raison quelconque, il ne passe pas par le même comité de révision du changement ni par le processus de changement, ou quoi que ce soit d'autre, ou le projet vient de passer à autre chose et personne ne le sait.
Avez-vous des exemples que vous pouvez partager - et je sais, évidemment, que ce n'est pas toujours quelque chose que vous partagez, car les clients sont un peu inquiets à ce sujet, nous ne devons donc pas nécessairement nommer des noms - mais donnez-nous un exemple Vous avez peut-être vu cela en fait, vous savez, une organisation l'a mis en place sans s'en rendre compte et a juste trouvé quelque chose et s'est rendu compte: «Waouh, ça valait dix fois la peine, nous venons de trouver quelque chose que nous n'avions pas réalisé. un exemple où des personnes ont implémenté cela et ont ensuite découvert qu'elles avaient un problème plus important ou un problème réel qu'elles ne savaient pas qu'elles avaient et qu'elles s'ajoutaient immédiatement à la liste des cartes de Noël?
Ignacio Rodriguez: Eh bien, je pense que la chose la plus importante que nous ayons vue ou rapportée est ce que je viens de mentionner, en ce qui concerne l'accès que quelqu'un a eu. Il existe des développeurs et lorsqu’ils ont implémenté l’outil, ils ne se sont pas rendu compte que beaucoup de ces développeurs avaient autant accès à la base de données et avaient accès à des objets particuliers. Et une autre chose est les comptes en lecture seule. Certains comptes en lecture seule ont été découverts, ils ont découvert que ces comptes étaient en réalité dotés de privilèges d'insertion de données et de suppression. C’est là que nous avons constaté des avantages pour les utilisateurs. Le gros problème, encore une fois, que nous avons entendu dire que les gens aiment, est en mesure de suivre les changements et de s’assurer que rien ne les bloque.
Dez Blanchfield: Comme l'a souligné Robin, vous avez des scénarios auxquels les gens ne réfléchissent pas souvent, n'est-ce pas? Quand nous sommes impatients, nous pensons en quelque sorte, vous savez, si nous faisons tout conformément aux règles, et je trouve, et je suis sûr que vous le voyez aussi - dites-moi si vous êtes en désaccord avec cela - les organisations se concentrent Il est fortement axé sur l'élaboration de stratégies et de politiques, ainsi que sur la conformité, la gouvernance, les indicateurs de performance clés et la création de rapports, car ils sont souvent tellement obsédés par cette préoccupation qu'ils ne pensent pas aux valeurs aberrantes. Et Robin a eu un très bon exemple que je vais lui voler - désolé Robin - mais c’est l’autre exemple où une copie vivante de la base de données, un instantané et sa mise en test de développement, non? Nous effectuons des tests, des tests, des UAT, des systèmes d'intégration, etc., puis nous effectuons une série de tests de conformité maintenant. Souvent test de développement, UAT, SIT comporte en fait un élément de conformité dans lequel nous nous assurons que tout est sain et sûr, mais tout le monde ne le fait pas. Cet exemple que Robin a donné avec une copie d'une copie vivante de la base de données mise dans un test avec l'environnement de développement pour voir s'il fonctionne toujours avec les données actives. Très peu d’entreprises se contentent de penser: «Est-ce que cela se produit ou est-ce possible?». Elles sont toujours concentrées sur la production. À quoi ressemble le parcours de mise en œuvre? Parlons-nous de jours, de semaines, de mois? À quoi ressemble un déploiement standard pour une entreprise de taille moyenne?
Ignacio Rodriguez: Journées. Ce ne sont même pas des jours, je veux dire, c’est juste quelques jours. Nous venons d'ajouter une fonctionnalité permettant d'enregistrer de très nombreux serveurs. Au lieu de devoir entrer dans l'outil et de dire que vous aviez 150 serveurs, vous deviez y aller individuellement et enregistrer les serveurs - maintenant, vous n'avez plus à le faire. Vous créez un fichier CSV que nous supprimons automatiquement. Nous ne le conservons pas ici pour des raisons de sécurité. Mais c’est une autre chose à prendre en compte, c’est que vous allez avoir un fichier CSV avec nom d’utilisateur / mot de passe.
Ce que nous faisons est que nous le supprimons à nouveau automatiquement, mais c’est une option que vous avez. Si vous voulez y aller individuellement et les enregistrer sans vouloir prendre ce risque, vous pouvez le faire. Mais si vous souhaitez utiliser un fichier CSV, placez-le dans un emplacement sécurisé, pointez l’application vers cet emplacement, il exécutera ce fichier CSV, puis il sera automatiquement configuré pour le supprimer une fois l’opération terminée. Et ça va aller et assurez-vous et vérifiez que le fichier est supprimé. Le plus long pôle dans le sable que nous ayons eu jusqu'à la mise en œuvre était l'enregistrement des serveurs actuels.
Dez Blanchfield: D'accord. Maintenant, vous avez parlé de rapports. Pouvez-vous nous donner un peu plus de détails et de perspicacités sur ce qui est pré-groupé en ce qui concerne les reportages sur, je suppose, le volet découverte consistant à examiner ce qu’il contient et à en rendre compte, à l’état actuel de la nation, à ce qui précède construits et précuits en ce qui concerne les rapports sur l'état actuel de la conformité et de la sécurité, et dans quelle mesure sont-ils facilement extensibles? Comment pouvons-nous construire sur ceux-ci?
Ignacio Rodriguez: D'accord. Certains de nos rapports contiennent des rapports sur plusieurs serveurs, des contrôles de connexion, des filtres de collecte de données, un historique des activités, puis des rapports d'évaluation des risques. Et aussi tous les comptes Windows suspects. Il y en a beaucoup, beaucoup ici. Consultez les connexions SQL suspectes, les connexions serveur et les correspondances utilisateur, les autorisations utilisateur, toutes les autorisations utilisateur, les rôles serveur, les rôles de base de données, les rapports d'authentification en mode mixte ou les rapports d'authentification en mode mixte, les bases de données activant les invités, les vulnérabilités de système via XPS, les procédures étendues, etc. et ensuite les rôles fixes vulnérables. Ce sont certains des rapports que nous avons.
Dez Blanchfield: Et vous avez mentionné qu'ils sont assez importants et un certain nombre d'entre eux, ce qui est une chose logique. Est-il facile pour moi de l'adapter? Si je fais un rapport et que je reçois ce très gros graphique, mais que je veux prendre quelques morceaux qui ne m'intéressent pas vraiment et ajouter quelques autres fonctionnalités, existe-t-il un rédacteur de rapport, y a-t-il une sorte d'interface et outil pour configurer et adapter ou même potentiellement construire un autre rapport à partir de zéro?
Ignacio Rodriguez: Nous inviterions ensuite les utilisateurs à utiliser Microsoft SQL Report Services pour le faire. Nous avons de nombreux clients qui vont créer certains rapports, les personnaliser et les planifier à tout moment. Certains de ces types veulent voir ces rapports tous les mois ou toutes les semaines et ils vont utiliser les informations dont nous disposons, les transférer dans le service de rapport, puis le faire à partir de là. Nous n'avons pas de rédacteur de rapport intégré à notre outil, mais nous tirons parti de Reporting Services.
Dez Blanchfield: Je pense que c’est l’un des plus gros défis de ces outils. Vous pouvez y accéder et trouver des éléments, mais vous devez ensuite pouvoir les extraire et les signaler à des personnes qui ne sont pas nécessairement des administrateurs de bases de données et des ingénieurs systèmes. Mon expérience a révélé un rôle intéressant: vous savez, les responsables de la gestion des risques ont toujours été au sein d’organisations et ils ont été largement présents, et une gamme de risques complètement différente de celle que nous avons vue récemment, alors qu’avec les données les violations devenant non seulement une chose, mais un véritable tsunami, le CRO est maintenant axé sur les risques liés aux ressources humaines et à la conformité ainsi qu'à la santé et la sécurité au travail. Vous savez, violation, piratage informatique, sécurité - beaucoup plus technique. Et cela devient intéressant parce que beaucoup de CROs proviennent d’un pedigree de MBA et non d’un pedigree technique, ils doivent donc se faire une idée de ce que cela signifie pour la transition entre le risque cyber et le CRO, et ainsi de suite. Mais la grande chose qu'ils veulent, c'est juste des rapports de visibilité.
Pouvez-vous nous parler du positionnement en matière de conformité? De toute évidence, l’un des grands atouts est que vous pouvez voir ce qui se passe, vous pouvez le surveiller, vous pouvez apprendre, vous pouvez en rendre compte, vous pouvez y réagir, vous pouvez même anticiper certaines choses. Le principal défi est la conformité à la gouvernance. Existe-t-il des éléments clés liés délibérément aux exigences de conformité existantes ou à la conformité de l’industrie, telle que la norme PCI, ou quelque chose du genre à l’heure actuelle, ou est-ce quelque chose qui est sur la feuille de route? Cela s'inscrit-il, en quelque sorte, dans le cadre des normes telles que COBIT, ITIL et ISO? Si nous déployons cet outil, est-ce qu'il nous donne une série de freins et d’équilibres qui s’intègrent dans ces cadres, ou comment pouvons-nous l’intégrer dans ces cadres? Où est la position avec ce genre de choses à l'esprit?
Ignacio Rodriguez: Oui, il existe des modèles que nous fournissons avec l'outil. Et nous en sommes encore au point où nous réévaluons nos modèles, nous allons en ajouter et il y en aura d’autres à venir. La FISMA, la FINRA, certains modèles supplémentaires que nous avons, et nous examinons généralement les modèles et examinons ce qui a changé, que devons-nous ajouter? Et nous voulons vraiment en arriver au point où, vous savez, les exigences en matière de sécurité ont beaucoup changé, nous cherchons donc un moyen de rendre cette extension extensible à la volée. C’est quelque chose que nous examinons à l’avenir.
Mais actuellement, nous envisageons peut-être de créer des modèles et d’être en mesure de les obtenir à partir d’un site Web; vous pouvez les télécharger. Et c’est comme ça que nous gérons cela: nous les traitons au moyen de modèles et nous cherchons ici des moyens de rendre cela facilement et rapidement extensible. Parce que quand je faisais des audits, vous savez, les choses changent. Un auditeur viendrait un mois et le mois suivant, il souhaitait voir quelque chose de différent. Ensuite, l’un des défis, avec les outils, est d’être capable d’apporter ces changements et d’obtenir ce dont vous avez besoin, et c’est, en quelque sorte, ce que nous voulons atteindre.
Dez Blanchfield: Je suppose que le défi d’un auditeur change régulièrement à la lumière du fait que le monde avance plus vite. Et jadis, l’exigence d’un point de vue d’audit, selon mon expérience, n’était qu’une pure conformité commerciale, puis c’était devenu une conformité technique et maintenant c’est la conformité opérationnelle. Et il y a toutes ces autres choses, vous savez, chaque jour, quelqu'un arrive et il ne se contente pas de vous mesurer sur des opérations comme ISO 9006 et 9002, il examine toutes sortes de choses. Et je vois maintenant que la série 38 000 est en train de devenir un élément important à l'ISO. J'imagine que cela va devenir de plus en plus difficile. Je suis sur le point de passer le relais à Robin parce que je suis en train de monopoliser la bande passante.
Merci beaucoup de voir ça, et je vais certainement passer plus de temps à apprendre à le savoir parce que je ne savais pas vraiment que c’était vraiment tout à fait cela en profondeur. Alors, merci, Ignacio, je vais maintenant donner la parole à Robin. Une belle présentation, merci. Robin, de l'autre côté de toi.
Dr Robin Bloor: Ok, Iggy, je vais t'appeler Iggy, si ça te va. Ce qui me dérange et, à la lumière de ce que Dez a dit dans son exposé, il se passe énormément de choses, il faut dire que les gens ne tiennent vraiment pas compte des données. Vous savez, surtout s’agissant du fait que vous ne voyez qu’une partie de l’iceberg et qu’il se passe probablement beaucoup de choses que personne ne rapporte. Je suis intéressé par votre point de vue sur le nombre de clients dont vous connaissez ou de clients potentiels qui bénéficient du niveau de protection que vous offrez, en quelque sorte, avec cela, mais aussi votre technologie d'accès aux données? Je veux dire, qui est adéquatement équipé pour faire face à la menace, est la question?
Ignacio Rodriguez: Qui est correctement équipé? Je veux dire, beaucoup de clients à qui nous n’avons vraiment pas adressé d’audit, vous savez. Ils en ont eu, mais l’essentiel est d’essayer de suivre le rythme, d’essayer de le maintenir et d’en être sûr. Le problème majeur que nous avons constaté est - et même lorsque je me suis conformé aux exigences, si vous exécutiez vos scripts, vous le feriez une fois par trimestre, lorsque les auditeurs entreraient et que vous rencontriez un problème. Eh bien, devinez quoi, c’est déjà trop tard, les audits sont là, les auditeurs sont là, ils veulent leur rapport, ils le signalent. Et ensuite, soit nous obtenons une note, soit on nous a dit, hé, que nous devions régler ces problèmes, et c’est là que cela entrerait en ligne de compte. Il s’agirait plutôt d’une démarche proactive, où vous pourrez trouver votre risque et l’atténuer, et c’est ce que nos clients recherchent. Un moyen d’être plutôt proactif au lieu d’être réactif lorsque les auditeurs entrent et trouvent que certains des accès ne sont pas là où ils doivent être, que d’autres disposent de privilèges d’administrateur et qu’ils ne devraient pas les avoir, ce genre de choses. Et c’est de là que beaucoup de commentaires ont été formulés, que les gens aiment cet outil et l’utilisent pour.
Dr Robin Bloor: D'accord, une autre question que j'ai, qui est, dans un sens, une question évidente également, mais je suis simplement curieux. Combien de personnes viennent réellement à vous après un piratage? Où, vous savez, vous êtes en affaires, pas parce qu'ils ont examiné leur environnement et ont compris qu'ils devaient être sécurisés de manière beaucoup plus organisée, mais en réalité vous y êtes simplement parce qu'ils ont déjà subi une partie des douleur.
Ignacio Rodriguez: Depuis mon arrivée à IDERA, je n'en ai pas vu. Pour être honnête avec vous, la plupart des interactions que j’ai eues avec les clients avec lesquels j’ai été impliqué sont plus axées sur l’avenir. Nous essayons de commencer à vérifier et à examiner les privilèges, etc. Comme je l’ai dit plus tôt, j’ai moi-même et n’avons jamais vécu la moindre chose, à ma connaissance.
Dr Robin Bloor: Oh c'est intéressant. J'aurais pensé qu'il y en aurait eu au moins quelques-uns. En fait, j’examine cette question, mais j’ajoute également à toutes les complexités qui rendent les données sécurisées dans l’entreprise de toutes les manières et dans toutes les activités que vous exercez. Proposez-vous des services de conseil directement pour aider les gens? Je veux dire, c’est clair que vous pouvez acheter des outils, mais selon mon expérience, les gens achètent souvent des outils sophistiqués et les utilisent très mal. Proposez-vous des conseils spécifiques - que faire, qui former et ce genre de choses?
Ignacio Rodriguez: Certains services pourraient vous permettre, en ce qui concerne les services d’appui, d’en faire partie. Mais en ce qui concerne les services de conseil, nous ne fournissons aucun service de conseil, mais une formation, vous savez, comment utiliser les outils et ce genre de choses, une partie de cela serait abordée avec le niveau de support. Mais en tant que tel, nous n’avons pas de département des services qui se charge de cela.
Dr Robin Bloor: D'accord. En ce qui concerne la base de données que vous couvrez, la présentation ne mentionne que Microsoft SQL Server - utilisez-vous Oracle également?
Ignacio Rodriguez: Nous allons d'abord développer Oracle avec Compliance Manager. Nous allons commencer un projet avec cela, nous allons donc envisager d'étendre cela à Oracle.
Dr Robin Bloor: Et êtes-vous susceptible d'aller ailleurs?
Ignacio Rodriguez: Ouais, c’est quelque chose que nous devons examiner dans les feuilles de route et voir comment les choses se passent, mais c’est une des choses sur lesquelles nous nous penchons, c’est ce que nous devons également attaquer les autres plates-formes de bases de données.
Dr Robin Bloor: La scission m’intéressait également. Je n’avais aucune idée préconçue à ce sujet, mais pour ce qui est des déploiements, dans quelle mesure est-il réellement déployé dans le nuage ou est-il presque entièrement sur site?
Ignacio Rodriguez: Tous sur les lieux. Nous envisageons également d'étendre Secure à Azure, oui.
Dr Robin Bloor: C’était la question Azure, vous n’y êtes pas encore mais vous y allez, c’est très logique.
Ignacio Rodriguez: Oui, nous y allons très bientôt.
Dr Robin Bloor: Oui, eh bien, d'après ce que j'ai compris de Microsoft, Microsoft SQL Server utilise énormément d'action avec Azure. Cela devient, si vous voulez, un élément clé de ce qu’ils offrent. L’autre question qui m’intéresse un peu - ce n’est pas technique, c’est plutôt une question de savoir-faire-vous-engager - qui est l’acheteur pour cela? Le service informatique est-il sollicité ou est-il sollicité par les OSC ou s'agit-il d'une variété de personnes différente? Quand on envisage quelque chose comme cela, cela fait-il partie de toute une série de choses visant à protéger l'environnement? Quelle est la situation là-bas?
Ignacio Rodriguez: C’est un mélange. Nous avons des OSC, souvent l'équipe de vente contacte les administrateurs de base de données. Et puis, les administrateurs de base de données, encore une fois, ont été invités à mettre en place une sorte de politique de processus d'audit. Et à partir de là, ils évalueront les outils, dresseront un bilan de la chaîne et décideront quelle partie ils souhaitent acheter. Mais c’est un mélange de personnes qui vont nous contacter.
Dr Robin Bloor: D'accord. Je pense que je vais maintenant céder la parole à Eric, car nous avons en quelque sorte terminé l’heure, mais le public risque de poser des questions. Eric?
Eric Kavanagh: Ouais, bien sûr, nous avons gravé beaucoup de bon contenu ici. C’est une très bonne question que je vais vous poser de la part de l’un des participants. Il parle de la blockchain et de ce dont vous parlez, et il demande: est-il possible de migrer une partie en lecture seule d’une base de données SQL vers quelque chose de similaire à ce que propose la blockchain? C’est un peu difficile.
Ignacio Rodriguez: Ouais, je vais être honnête avec vous, je n’ai pas de réponse à cette question.
Eric Kavanagh: Je vais en parler à Robin. Robin, je ne sais pas si vous avez entendu cette question, mais il ne fait que poser la question suivante: y at-il un moyen de migrer la partie en lecture seule d’une base de données SQL vers quelque chose de similaire à ce que propose la blockchain? Qu'est ce que tu penses de ça?
Dr Robin Bloor: Par exemple, si vous migrez la base de données, vous allez également migrer le trafic de la base de données. Cela implique toute une complexité. Mais vous ne le feriez pas pour une raison autre que celle de rendre les données inviolables. Parce que l'accès à une chaîne de blocs sera plus lent, vous savez, si la vitesse est votre truc - et c'est presque toujours la chose - alors vous ne le feriez pas.Mais si vous vouliez fournir un genre d’accès crypté à une partie de celui-ci à certaines personnes qui font ce genre de chose, vous pouvez le faire, mais vous devez avoir une très bonne raison. Vous êtes beaucoup plus susceptible de le laisser où il est et de le sécuriser où il est.
Dez Blanchfield: Oui, je suis d'accord là-dessus, si je peux intervenir rapidement. Je pense que le défi de la blockchain, même de la blockchain qui est publiquement utilisée, est utilisé sur bitcoin - nous avons du mal à faire plus, en quelque sorte, quatre transactions par minute de manière totalement distribuée. Non pas tant à cause du défi informatique, bien qu’il soit là, les nœuds entiers ont juste du mal à suivre les volumes de la base de données et inversement, ainsi que la quantité de données copiées parce que c’est maintenant, et pas seulement les mégas.
Mais aussi, je pense que le principal défi est de changer l’architecture de l’application car dans une base de données, il s’agit principalement de tout placer dans un emplacement central et que vous avez ce modèle de type client-serveur. La blockchain est l'inverse; il s’agit de copies distribuées. Cela ressemble beaucoup à BitTorrent, c’est-à-dire qu’il existe de nombreuses copies des mêmes données. Et vous savez, comme Cassandra et les bases de données en mémoire où vous le distribuez et où de nombreux serveurs peuvent vous fournir des copies des mêmes données à partir d’un index distribué. Comme vous l'avez dit, Robin, je pense que les deux éléments clés sont les suivants: premièrement, si vous voulez le sécuriser et vous assurer qu'il ne peut pas être volé ou piraté, c'est génial, mais ce n'est pas nécessairement une plate-forme transactionnelle, et 'ai vécu cela avec le projet Bitcoin. Mais en théorie, d’autres l’ont résolu. Mais aussi, sur le plan architectural, de nombreuses applications ne savent pas comment interroger et lire dans une blockchain.
Il y a beaucoup de travail à faire là-bas. Mais je pense que le point clé de la question, si je peux, est la raison pour laquelle on la transfère dans une blockchain. Je pense que la question qui est posée est la suivante: pouvez-vous extraire des données d’une base de données et les mettre sous une forme plus sécurisé? Et la réponse est que vous pouvez le laisser dans la base de données et le chiffrer. Il y a beaucoup de technologies maintenant. Il suffit de chiffrer les données au repos ou en mouvement. Il n’ya aucune raison pour que vous ne puissiez pas avoir de données chiffrées en mémoire et dans la base de données sur disque, ce qui est un défi beaucoup plus simple, car vous n’avez pas besoin de changer l’architecture. Invariablement, la plupart des plateformes de base de données, c’est en fait une fonctionnalité qui est activée.
Eric Kavanagh: Oui, nous avons une dernière question que je vais vous poser, Iggy. C’est un très bon. Du point de vue des contrats de niveau de service et de la planification des capacités, quel type de taxe l’utilisation de votre système? En d’autres termes, tout temps système ou temps de latence supplémentaire si vous souhaitez impliquer la technologie IDERA dans un système de base de données de production?
Ignacio Rodriguez: Nous ne voyons vraiment pas beaucoup d’impact. Encore une fois, c’est un produit sans agent et tout dépend, comme je l’ai déjà mentionné, des instantanés. Secure est basé sur des instantanés. Il ira là-bas et créera en fait un travail qui sera attribué aux intervalles que vous avez sélectionnés. Soit vous voulez le faire, encore une fois, hebdomadaire, quotidien, mensuel. Il ira là-bas et exécutera ce travail, puis collectera les données des instances. À ce moment-là, la charge revient aux services de gestion et de collecte. Une fois que vous avez commencé à faire les comparaisons et tout le reste, la charge de la base de données n’y joue aucun rôle. Toute cette charge est maintenant sur le serveur de gestion et de collecte, en ce qui concerne les comparaisons et tous les rapports, etc. La seule fois que vous accédez à la base de données, c'est toujours lorsque celle-ci effectue la capture instantanée. Et nous n’avons pas vraiment eu connaissance de ce que cela soit vraiment préjudiciable aux environnements de production.
Eric Kavanagh: Oui, c’est un très bon argument que vous faites valoir. En gros, vous pouvez simplement définir le nombre d'instantanés que vous prenez, leur intervalle de temps et, en fonction de ce que cela peut arriver, mais c'est une architecture très intelligente. C’est bien, mec. Eh bien, vous êtes en première ligne pour essayer de nous protéger de tous les pirates dont nous avons parlé au cours des 25 premières minutes de la série. Et ils sont là-bas, les gens, ne faites pas d'erreur.
Écoutez, nous allons publier un lien vers cette diffusion Web, les archives, sur notre site insideanalysis.com. Vous pouvez trouver des choses sur SlideShare, vous pouvez les trouver sur YouTube. Et les gars, bonnes choses. Merci pour ton temps, Iggy, j'aime ton surnom, au fait. Sur ce, nous vous disons au revoir, chers amis. Merci beaucoup pour votre temps et votre attention. Nous vous rattraperons la prochaine fois. Bye Bye.