更好地征求许可：隐私和安全性最佳实践

带走： 主持人Eric Kavanagh与Robin Bloor博士和IDERAs Vicky Harp讨论了安全性和权限。

您目前尚未登录。请登录或注册以观看视频。

埃里克·卡瓦纳（Eric Kavanagh）： 好的，女士们，先生们，您好，欢迎再次光临。它是一个星期三，四个东部以及世界各地的企业技术，这意味着它再次成为Hot Technologies的时代！确实是的。由Bloor Group主持，当然是由Techopedia的朋友提供支持。今天的主题是一个非常酷的主题：“更好地征求许可：隐私和安全性的最佳实践。”没错，这是一个艰巨的主题，很多人都在谈论它，但是这是一个非常严肃的主题，并且坦率地说，它的确每天都在变得越来越严重。对于许多组织而言，这是一个很严重的问题。我们将要讨论这一点，并且将要讨论如何保护您的组织免受如今看来遍布整个地方的邪恶角色的侵害。

因此，今天的主持人是来自IDERA的Vicky Harp。您可以在LinkedIn上看到IDERA软件–我喜欢LinkedIn上的新功能。尽管我可以说他们以某些方式拉扯了一些限制，但不允许您与其他人接触，而是试图让您购买这些高级会员资格。到那里，我们有我们自己的Robin Bloor拨入电话-他实际上今天在圣地亚哥地区。而您真正的主持人/分析师。

那么，我们在说什么呢？数据泄露。我只是从IdentityForce.com那里获得了这些信息，它已经用于比赛了。当然是在今年5月，而且只有大量的数据泄露事件，当然，雅虎（Yahoo!）确实存在一些非常大的数据泄露事件。是一个大问题，我们当然听说美国政府遭到黑客入侵。我们刚刚砍掉了法国大选。

他们说，这在各地都在发生，它在持续并且不会停止，所以这是一个现实，它是新的现实。我们确实确实需要考虑加强系统和数据安全性的方法。而且它是一个持续的过程，因此，它应该及时考虑所有不同的问题。这只是部分列表，但这使您对当今企业系统的情况有多不稳定有一些看法。在放映前，在放映前的戏ter中，我们谈论的是勒索软件，它袭击了我认识的某人，这是非常不愉快的经历，因为有人接管了您的iPhone并要求您退款以重新获得对手机的访问权限。但是它发生了，它发生在计算机上，它发生在系统上，就在几天前，这发生在亿万富翁和游艇上。想象有一天去您的游艇上，试图打动所有朋友，您甚至无法打开它，因为有些小偷偷偷了使用控制面板的控制权。我只是在前几天对某人的采访中说，总是要有手动优先权。就像，我不是所有联网汽车的忠实拥护者-甚至汽车也可能遭到黑客入侵。连接到互联网或连接到可以渗透的网络的任何东西都可以被黑客入侵，任何东西。

因此，在确定情况严重程度的构架方面，这里仅需考虑一些事项。如今，基于Web的系统无处不在，并且还在不断扩散。有多少人在线购买商品？这些天来只是屋顶，这就是为什么亚马逊如今如此强大的原因。这是因为有太多人在网上购买商品。

因此，您还记得15年前，人们非常担心将信用卡放入网络表单中以获取信息，那时的争论是：“好吧，如果您将信用卡交给服务生的服务员，餐馆，那就是同一件事。”因此，我们的答案是肯定的，这是同一件事，所有这些控制点或访问点，同一件事，同一枚硬币的不同面都可以放置人员陷入危险之中，有人可以拿走您的钱，或者有人可以从您那里窃取钱财。

然后，物联网当然将威胁范围扩大了-我喜欢这个词-数量级。我的意思是，请考虑一下-随处可见所有这些新设备，如果有人可以侵入控制它们的系统，那么他们可以使所有这些bot都对您不利，并导致很多问题，因此这是一个非常严重的问题。如今，我们拥有全球经济，这进一步扩大了威胁范围，而且，您在其他国家/地区的人可以用您和我可以用的相同方式访问网络，如果您不懂俄语，或者多种其他语言，当他们入侵您的系统时，您将很难理解它们发生了什么。因此，我们在网络和虚拟化方面取得了进步，这很好。

但是我在这张照片的右边有一把剑，之所以有它，是因为每把剑都是双向的。就像他们说的那样，它是一把双刃剑，并且它是古老的陈词滥调，但这意味着我拥有的剑会伤害您或伤害我。它可以通过弹跳或有人抓住它而回到我身上。它实际上是伊索寓言之一–我们经常给敌人以我们自己破坏的工具。它的故事情节确实非常引人注目，并且与使用弓箭并击落一只鸟的人有关，当那只箭射上时，那只鸟看到那只来自其家禽友的羽毛在箭的边缘，在箭的背面引导它，他心想：“哦，伙计，这是我自己的羽毛，我自己的家人将被用来压倒我。”这种情况一直在发生，您会听到统计一下您的房子里有枪，小偷可以拿枪。好吧，这都是真的。因此，我把它作为类比考虑一下，所有这些不同的发展都有积极的一面和消极的一面。

可以说，对于那些真正遵循企业计算前沿的人们来说，容器是最新的事物，提供功能的最新方式，它确实是虚拟化与面向服务的体系结构的结合，至少对于微服务及其非常有趣的东西。您当然可以通过使用容器来混淆安全协议，应用程序协议以及数据等，这会使您在一段时间内有所进步，但坏人迟早会弄清楚这一点，并且那么阻止他们利用您的系统将变得更加困难。因此，那里的全球劳动力使网络和安全性以及人们从何处登录变得复杂。

我们的浏览器之战一直在继续，并且需要不断的工作来更新和掌握最新信息。我们不断听到有关旧版Microsoft Explorer浏览器的信息，以及它们如何被黑客入侵以及如何在其中使用。因此，这些天黑客可以赚更多的钱，整个行业都有，这是我的合伙人布洛尔博士八年前教给我的–我想知道为什么我们会看到这么多钱，他提醒我，整个行业都参与了黑客攻击。从这个意义上讲，该叙事是我最不喜欢的关于安全性的词语之一，它确实是很不诚实的，因为该叙事在所有这些视频和任何新闻报道中都向您展示了一些骇客行为，使他们看到了一个穿着连帽衫的家伙，在他昏暗的房间地下室里，事实并非如此。那根本不是现实的代表。它的孤单的黑客，很少有孤单的黑客，他们在那里，给他们带来一些麻烦–他们不会造成大麻烦，但是他们可以赚很多钱。因此，发生的事情是黑客入侵并渗透到您的系统中，然后将该访问权限出售给其他人，后者又将其出售并出售给其他人，然后在某个地方，某人利用该黑客并利用了您。并且有无数种利用被盗数据的方法。

我什至对自己如何使这个概念变得迷人而感到惊奇。您到处都可以看到这个术语，“增长黑客”之类的东西很不错。您知道，成长型黑客是一件好事，如果您想为好人工作，那么可以说并入侵一个系统，就像我们不断听到朝鲜及其导弹发射的消息一样，有可能被黑客入侵了–那就好。但是黑客攻击通常是一件坏事。因此，当我们魅力十足的罗宾汉时，现在正在像罗宾汉一样迷人它。然后是无现金的社会，坦白地说，这事关着我的曙光。我每次听到的声音都是：“不，请不要这样做！请不要！”我不希望我们所有的钱都消失。因此，这些只是要考虑的一些问题，这又是它的猫鼠游戏。它永远不会停止，因此始终需要安全协议和不断发展的安全协议。并且为了监视您的系统以甚至了解和感知谁在外面，这是一项了解，这甚至可能是一项内部工作。因此，这是一个持续存在的问题，在相当长的一段时间内将成为一个持续存在的问题–对此请不要误会。

然后，我将其交给Bloor博士，他可以与我们分享有关保护数据库的一些想法。罗宾，把它拿走。

罗宾·布卢尔（Robin Bloor）： 好吧，有趣的黑客事件之一，我认为它发生在大约五年前，但基本上它是一家被黑的卡处理公司。并且大量卡详细信息被盗。但是，对我而言，有趣的是，这实际上是他们真正进入的测试数据库，而且在进入实际，真实的处理卡数据库时可能遇到很大的困难。但是您知道开发人员的情况，他们只是削减了一部分数据库，然后将其推入其中。要防止这种情况的发生，必须更加警惕。但是，有很多有趣的黑客故事，它在一个区域内构成了一个非常有趣的主题。

因此，Im实际上将以某种方式重复Eric所说的一些事情，但是很容易将数据安全性视为静态目标。它之所以容易，只是因为它更容易分析静态情况，然后考虑将防御放入其中，但实际上并非如此。它的移动目标以及多数民众赞成其中一种定义了整个安全空间。只是所有技术都在发展，坏蛋的技术也在发展。因此，简要概述：数据盗窃并不是什么新鲜事，实际上，数据间谍活动就是数据盗窃，而且我认为这种情况已经存在了数千年。

从这些方面来说，最大的数据抢劫案是英国违反了德国法典，美国人违反了日本法典，在这两种情况下，它们几乎都大大缩短了战争。他们只是在窃取有用和有价值的数据，这当然非常聪明，但是您知道，现在发生的事情在很多方面都非常聪明。网络盗窃是互联网产生的，并在2005年左右爆发。我走访了所有统计数据，当您开始变得非常认真时，从2005年左右开始，无论以某种方式还是非常高的数字，它都变得更糟了。然后。许多参与者，政府参与，企业参与，黑客团体和个人。

我去了莫斯科-大约已经五年了-实际上我和一个来自英国的家伙一起度过了很多时间，他研究了整个黑客领域。他说–我不知道这是否是真的，我只听他的话，但这听起来很可能–在俄罗斯，有一个叫做“商业网络”的东西，这是一群黑客，​​你们都是知道，它们来自克格勃的废墟。他们推销自己，不仅仅是，我的意思是，我确定俄罗斯政府会使用它们，而是将自己推销给任何人，有传言，或者他说有传言，各个外国政府都在利用商业网络进行合理的可否认性。 。这些家伙拥有数百万台可能受到攻击的受损PC网络。他们拥有您可以想象的所有工具。

因此，攻击和防御技术得到了发展。无论是否拥有数据，企业都有责任注意其数据。就实际上已经生效或正在生效的各种法规而言，这已经变得更加清晰。而且可能会有所改善，有人以某种方式或某种方式承担了黑客的费用，以致他们有动力关闭这种可能性。那就是我认为必要的事情之一。因此，关于黑客，他们可以位于任何地方。尤其是在您的组织内部，我听说过很多巧妙的骇客，其中涉及到有人打开门。你知道，这个人，就像银行抢劫案的情况一样，几乎他们总是说在良好的银行抢劫案中有内部人员。但是内部人员只需要提供信息，因此很难获取信息，了解信息的来源等等。

而且可能很难将他们绳之以法，因为如果您在摩尔多瓦遭到一群人的入侵，即使您知道那是一群人，您将如何在他们周围发生某种法律事件？从一个管辖区到另一个管辖区，它的公正性，并没有一套很好的国际安排来制止黑客。他们共享技术和信息；其中很多是开源的。如果您想构建自己的病毒，那么这里有大量的病毒包–完全开源。而且它们拥有大量资源，在数据中心和PC等设备中，有超过100万台受感染的设备中有大量的僵尸网络。正如我所提到的，有些企业已经经营了很长时间，然后出现了政府团体。正如埃里克（Eric）所说，这种可能性不太可能永远消失。

因此，这是一个有趣的hack，我刚才以为我提到了它，因为这是最近的hack；它发生在去年。与以太坊加密货币相关的DAO合约中存在一个漏洞。并在一个论坛上进行了讨论，并且一天之内，DAO合同被黑了，正是使用了该漏洞。损失了5000万美元的以太币，导致DAO项目立即陷入危机，并关闭了该项目。实际上，Etherium一直在努力阻止黑客使用这些钱，而且他们也减少了他的收入。但是也有人认为-不确定（确切地说是）-黑客知道在以太币的价格会崩溃的情况下实际上在其攻击之前做空了以太币的价格，从而以另一种方式获利。

如果您愿意，这就是黑客可以使用的另一种策略。如果他们可以破坏您的股价，并且知道他们会这样做，那么他们唯一需要做的就是卖空股价并进行黑客攻击，因此，这些家伙很聪明，您知道。而且价格是完全的金钱盗窃，破坏和赎金，包括投资，您破坏和卖空股票，破坏，身份盗窃，各种骗局，仅仅是为了广告。而且这往往是政治上的，或者显然是信息间谍活动，甚至有些人靠试图通过入侵Google，Apple甚至是五角大楼而获得的bug赏金来谋生，实际上是五角大楼也提供了bug赏金。而你只是hack；如果成功了，那么您就去领取您的奖金，并且不会造成任何损失，所以这很不错。

我不妨提及合规和法规。除了行业计划外，还有许多官方法规：HIPAA，SOX，FISMA，FERPA和GLBA都是美国立法。有标准； PCI-DSS已成为相当普遍的标准。然后是关于数据所有权的ISO 17799。国家法规因国家而异，甚至在欧洲也是如此。目前，GDPR –全球数据代表什么？我认为这代表着《全球数据保护条例》，但这将于明年生效。有趣的是，它适用于世界各地。如果您拥有5,000或更多的拥有个人信息的客户，并且他们居住在欧洲，那么无论您的公司实际上是总部还是在哪里运营，欧洲实际上都会带您执行任务。处罚是，最高刑罚是年收入的百分之四，这是巨大的，因此，一旦生效，这将是一个有趣的转折。

值得思考的是，DBMS漏洞，大多数有价值的数据实际上都位于数据库中。它之所以有价值，是因为如果您没有实际应用正确的DBMS证券，我们投入了大量的时间来使它变得可用并进行良好的组织，这会使它更加脆弱。显然，如果您打算为此类事情做计划，则需要确定整个组织中存在哪些易受攻击的数据，同时要记住数据由于各种原因而容易受到攻击。它可以是客户数据，但也可以是内部文件，对于间谍活动等而言是有价值的。安全政策，尤其是与访问安全有关的安全政策（在我看来，最近在新的开放源代码中，安全政策一直很薄弱），由于加密技术相当坚如磐石，因此越来越多地使用加密技术。

大多数人不知道安全漏洞的成本，但是如果您实际查看遭受安全漏洞攻击的组织所发生的情况，那么事实证明，安全漏洞的成本通常比您想象的要高。然后要考虑的另一件事是攻击面，因为与组织一起运行的任何地方的任何软件都构成了攻击面。任何设备也是如此，无论数据如何存储，数据也是如此。总而言之，攻击面随着物联网的增长而增长，攻击面可能会翻倍。

因此，最后是DBA和数据安全性。数据安全性通常是DBA角色的一部分。但是它也是协作的。而且它必须服从公司政策，否则可能无法很好地实施。话虽如此，我认为我可以传球。

埃里克·卡瓦纳（Eric Kavanagh）： 好吧，让我把钥匙给维琪。您可以共享屏幕或移至这些幻灯片，由您自己决定，将其移开。

Vicky Harp： 不，我将从这些幻灯片开始，非常感谢。所以，是的，我只是想花点时间介绍一下自己。我是Vicky Harp。我是IDERA软件的SQL产品产品管理经理，对于那些您可能不熟悉我们的人，IDERA有许多产品系列，但是我这里所说的是SQL Server方面的内容。因此，我们进行性能监控，安全合规性，备份，管理工具-以及它们的清单。当然，我今天要谈论的是安全性和合规性。

我今天要谈论的大部分内容不一定是我们的产品，尽管我确实打算在以后展示一些示例。我想与您更多地讨论数据库安全性，当前数据库安全性中的一些威胁，需要考虑的一些事情以及为保护SQL安全而需要考虑的一些入门思想。如上所述，服务器数据库并确保它们符合您可能要遵守的法规框架。有许多不同的法规。他们从事不同的行业，遍布世界各地，这些都是需要考虑的事情。

因此，我有点想花点时间谈论数据泄露的状态–而不重复此处已经讨论的太多内容–我一直在研究英特尔最近的这项安全研究，以及他们的研究–与之交谈的大约1500个组织–就数据丢失违规而言，他们平均有6个安全漏洞，其中68％的组织在某种意义上需要披露，因此它们影响了股价，或者他们不得不承担一定的信誉监视其客户或雇员等。

其他有趣的统计数据是内部参与者占其中的43％。因此，很多人确实对黑客以及这类可疑的准政府组织或有组织犯罪等有很多看法，但是内部行为者仍然在相当大的比例下直接对雇主采取行动。这些有时有时更难防范，因为人们可能有正当理由访问这些数据。从某种意义上讲，其中约有一半是意外损失，占43％。因此，例如，在有人将数据带回家然后失去对数据的跟踪的情况下，这导致我得出第三点，那就是物理介质中的内容仍然涉及40％的漏洞。因此，那是USB密钥，那是人民的笔记本电脑，那是刻录到物理磁盘上并从建筑物中取出的实际媒体。

如果您考虑一下，您是否有一位开发人员在其笔记本电脑上拥有生产数据库的开发副本？然后他们上飞机，然后下飞机，然后托运行李，笔记本电脑被盗。 Youve现在发生了数据泄露。您可能不一定认为这就是为什么要使用笔记本电脑，但笔记本电脑可能永远不会在野外出现。但是，那仍然算作违规行为，它需要进行披露，您将由于丢失物理介质而具有丢失该数据的所有下游影响。

另一个有趣的事情是，很多人都在考虑信用数据和信用卡信息是最有价值的，但事实并非如此。这些数据很有价值，信用卡号很有用，但是老实说，这些数字变化非常快，而人们的个人数据变化却不是很快。玩具制造商VTech就是最近的新闻报道，这些玩具是为儿童设计的。人们会给他们一个孩子的名字，给他们关于孩子们住的地方的信息，给他们父母的名字，给孩子留下照片。这些都不是加密的，因为它不重要。但是他们的密码已加密。好吧，当违规行为不可避免地发生时，您说：“好吧，所以我有一个孩子的名字，父母的名字，他们住的地方的清单–所有这些信息都在那里，您认为密码是最有价值的部分那不是吗？人们无法更改其个人数据，地址等方面的信息。因此，信息实际上非常有价值，需要加以保护。

因此，我想谈一谈正在发生的一些事情，以促进当前数据泄露的发生。社会工程是当今最大的热点之一。因此，人们称其为网络钓鱼，冒充他人身份等，在这种情况下，人们通常是通过说服他们应该访问数据来通过内部参与者来访问数据的。因此，就在前几天，我们遇到了这种Google Docs蠕虫。发生的事情-我确实收到了它的副本，尽管幸运的是我没有单击它-您是从一位同事那里得到的，说：“这里有Google Doc链接；您需要单击此按钮以查看我刚刚与您共享的内容。”嗯，在使用Google Docs的组织中，这很传统，您每天将收到数十个此类请求。如果您单击它，它会询问您访问此文档的权限，也许您会说：“嘿，这看起来有点奇怪，但是您知道，它看起来也很合法，所以请继续单击它， ”，然后，您就授予了该第三方访问您所有Google文档的权限，因此，创建了此链接，供外部参与者访问您在Google云端硬盘中的所有文档。这到处都是蠕虫。它在短短几个小时内打击了数十万人。从根本上讲，这是一次网络钓鱼攻击，谷歌本身不得不关闭，因为它执行得很好。人们喜欢它。

我在这里提到SnapChat HR漏洞。这只是一个简单的问题，有人冒充他们是首席执行官，然后向人事部门说：“我需要你这个电子表格。”他们相信了，他们放了一个有700个不同员工薪酬的电子表格。信息，他们的家庭住址等，将其发送给另一方，这实际上不是首席执行官。现在，数据已经出来了，所有员工的个人，私人信息都已经存在并且可以被利用。因此，我在数据库领域提到了社会工程学，因为您可以尝试通过教育来抵御社会工程学，但是您还必须记住，在任何人与技术进行交互的地方，以及如果您依靠他们良好的判断力来防止断电，那么您会问很多人。

人们会犯错误，人们会点击本不该拥有的东西，人们会为聪明的情节而堕落。您可以非常努力地保护他们免受它的侵害，但是它不够强大，您需要尝试限制人们意外地在数据库系统中泄露此信息的能力。我想提及的另一件事显然是谈论很多，那就是勒索软件，僵尸网络，病毒–所有这些不同的自动化方式。因此，我认为了解勒索软件很重要，因为它确实改变了攻击者的获利模式。在您谈论违规的情况下，从某种意义上讲，他们必须提取数据并自己拥有和使用它。而且，如果您的数据晦涩难懂，是否经过加密，是否针对特定行业，则可能对它们没有任何价值。

到目前为止，人们可能已经觉得这是对他们的保护，“我不需要保护自己免受数据泄露的侵害，因为如果他们要进入我的系统，那么他们所拥有的就是，我是摄影工作室，我有一份清单，列出来年的哪些日子。谁在乎呢？”嗯，事实证明答案是你在乎那个。您存储该信息，它是您的关键业务信息。因此，使用勒索软件，攻击者会说：“好吧，没有人会为此而给我钱，但是您会的。”因此，他们利用了这样的事实，即他们甚至不必取出数据，甚至不必遭到破坏，他们只需要对您使用进攻性的安全工具。他们进入您的数据库，对其内容进行加密，然后他们说：“好，我们有密码，您将必须支付我们5,000美元才能获得该密码，否则您就不再拥有此数据。 ”

人们确实付钱；他们发现自己必须这样做。几个月前，MongoDB遇到了一个巨大的问题，我想是在1月份，基于一些默认设置，勒索软件在Internet上公开了超过一百万个MongoDB数据库。更糟糕的是人们在付款，因此其他组织会进入并重新加密或声称是最初加密它的组织，所以当您付款时，我认为在这种情况下索要500美元左右的价格，人们会说：“好吧，我付的钱比付钱要多付给研究人员进入这里，以帮助我找出问题所在。我只付了500美元。”他们甚至没有把钱付给合适的演员，所以他们被十个不同的组织告诉他们：“我们有了密码”，或“我们有办法为您解锁赎回的数据。然后，您必须支付所有费用，才能使其正常工作。

在某些情况下，勒索软件的作者也有错误，我的意思是，并不是说这是一种完美的局面，因此即使受到攻击，甚至一旦您付款，也无法保证您将获得所有数据返回，武器化的InfoSec工具也使其中的某些事情变得复杂。因此，影子经纪人集团一直在泄漏来自NSA的工具。它们是政府实体为间谍目的设计的工具，实际上是与其他政府实体合作的工具。其中一些是非常引人注目的零日攻击，基本上使已知的安全协议搁置了一边。因此，例如，在最近的Shadow Brokers转储之一中，SMB协议中存在一个重大漏洞。

因此，这些工具可以在短短几个小时内，就您的攻击面而言，真正改变您的游戏。因此，每当Im考虑到这一点（在组织层面上，安全性InfoSec是其自身的功能）时，都必须认真对待它。每当谈论数据库时，我都可以将其删除，您不必一定要以数据库管理员的身份全面了解本周影子经纪人的状况，但是您需要意识到所有这些都在变化，有些事情正在发生，因此您在某种程度上保持自己的域名严格和安全的情况，在某种情况下，它确实可以为您提供帮助。

因此，在开始专门讨论SQL Server之前，我想在这里花点时间，实际上是与我们的小组成员就数据库安全性的一些注意事项进行一些公开讨论。因此，到目前为止，我们还没有提到一些事情，我想谈谈将SQL注入作为向量的问题。因此，这就是SQL注入，这显然是人们通过某种形式的输入将命令插入数据库系统的方式。

埃里克·卡瓦纳（Eric Kavanagh）： 是的，我实际上遇到了一个人-我认为是在安德鲁斯空军基地-大约五年前，我正在走廊上与他谈话，他只是一个顾问，我们只是在分享战争故事-并非双关语-他提到他是由某人带进来的，与某位较高级别的军人进行磋商，然后那个人问他：“好吧，我们怎么知道你擅长于你的工作？”等等。当他与他们交谈时，他在计算机上使用过，进入了网络，他使用SQL注入进入了该库以及这些人的注册表。然后他找到了他正在聊天的人，他只是在机器上给他看了！那家伙就像，“你是怎么做到的？”他说，“好吧，我使用SQL注入。”

所以，就在五年前，那是在空军基地，对吗？因此，我的意思是，就弊而言，这件事仍然非常真实，可以用在真正可怕的效果上。我的意思是，很想知道罗宾（Robin）在该主题上有任何战争故事，但是所有这些技巧仍然有效。它们在许多情况下仍然被使用，这是一个教育自己的问题，对吗？

罗宾·布卢尔（Robin Bloor）： 嗯，是。是的，可以通过完成这项工作来防御SQL注入。它很容易理解，为什么这个想法是在发明和首次泛滥时产生的，它很容易理解为什么它是如此的如此成功，因为您可以将其粘贴在网页的输入字段中，然后为您返回数据，或者获取它可以删除数据库中的数据或其他任何内容–您只需注入SQL代码即可。但是令我感兴趣的是，您必须对输入的每条数据进行一点解析，但是很有可能发现有人试图这样做。确实，我认为这是真正的原因，导致人们仍然无法使用它。我的意思是，真的很奇怪，没有一种简单的方法可以解决它。您知道，每个人都可以轻松使用，据我所知，Vicky还没有过吗？

Vicky Harp： 好吧，实际上，一些人质解决方案，例如SQL Azure，我认为有一些基于机器学习的很好的检测方法。这就是将来可能要看到的，它试图提供一种适合所有人的尺寸。我认为答案是没有一种尺寸能适合所有人，但我们确实有一些机器可以了解您的尺寸，并确保您适合该尺寸，对吗？因此，如果您有一个误报，那是因为您实际上在做一些不寻常的事情，这不是因为您必须仔细检查并认真确定应用程序可能会做的所有事情。

我认为它仍然如此多产的原因之一是，人们仍然依赖第三方应用程序，并且独立软件开发商（ISV）的应用程序以及随着时间推移而被涂抹的应用程序。因此，您谈论的是一个组织，该组织购买了2001年编写的工程应用程序。他们还没有更新它，因为从那时起就没有任何重大的功能更改，并且它的原始作者有点像，他们不是工程师。 ，他们不是数据库安全专家，他们没有在应用程序中以正确的方式做事，并且最终成为一个媒介。我的理解是-我认为这是Target数据泄露，这是非常大的漏洞-攻击媒介来自其空调供应商之一，对吗？因此，对于那些第三方的问题，您可以，如果您拥有自己的开发机构，则可以制定一些规则，并且通常在任何时候执行。作为组织，您可能正在运行数百甚至数千个具有所有不同配置文件的应用程序。我认为这是机器学习将要出现并开始为我们提供很多帮助的地方。

我的战争故事是寓教于乐。我看到了SQL注入攻击，而我从未发生过的事情是使用普通可读的SQL。我做这些事情称为模糊的P SQL假日卡。我喜欢这样做，您使此SQL看起来尽可能混乱。几十年来一直在进行的混淆的C ++代码竞赛，和它的想法相同。因此，您实际上得到的是在打开的字符串字段中的SQL注入，它关闭了字符串，将其放入分号，然后将其放入exec命令中，该命令具有一系列数字，然后基本上使用了使用强制转换命令将这些数字转换为二进制，然后依次将其转换为字符值，然后执行。因此，并不是像您看到“从生产表中删除启动”这样的内容，实际上它被塞入了数字字段中，因此很难看到。甚至一旦您看到它，就可以确定正在发生的事情，还需要进行一些实际的SQL拍摄，才能弄清楚正在发生的事情，当然这是在什么时候完成的。

罗宾·布卢尔（Robin Bloor）： 而且，在整个黑客世界中，只是一种现象就是，如果有人发现一个弱点，并且碰巧是在通常已售出的一款软件中，那么，早期的问题之一就是数据库密码在安装数据库时得到提示，实际上很多数据库只是默认值。而且许多DBA根本就没有改变它，因此您可以设法进入网络。您可以尝试使用该密码，如果有效，那么您就中了彩票。有趣的是，所有这些信息都非常有效地在Darknet网站的黑客社区之间传播。他们知道。因此，他们几乎可以扫一扫所有内容，找到几个实例，然后自动对它进行一些黑客攻击，然后它们就进入了。那就是，我认为，至少有很多人在外围所有这些，实际上还不了解黑客网络对漏洞的响应速度。

Vicky Harp： 是的，这实际上提出了我想继续讲的另一件事，那就是凭证填充的概念，这是一个突然出现的现象，即一旦您的凭证被盗给任何地方，任何地方的人，网站上，将尝试全面使用这些凭据。因此，如果您使用重复的密码，例如，如果您的用户使用相同的密码，即使有人这样说，也可能有人可以通过看似完全有效的一组凭据来进行访问。因此，可以说，我已经在亚马逊和我的银行以及在一个论坛上使用了相同的密码，并且该论坛软件被黑客入侵了，好吧，它们都有我的用户名和密码。然后，他们可以在亚马逊使用相同的用户名，也可以在银行使用该用户名。就银行而言，这是完全有效的登录。现在，您可以通过完全授权的访问来执行恶意操作。

因此，这种说法又回到了我之前所说的内部违规和内部用法。如果组织中的人员使用与外部访问相同的密码进行内部访问，则很可能有人通过您甚至不知道的其他站点的漏洞侵入并冒充您。并且该数据被非常迅速地传播。我认为有很多清单是Troy Hunt的“我被自己捏过”的最新资料，他说他有50亿套凭证，如果考虑到地球上的人数，那就是提供给凭证填充的凭证数量确实很大。

因此，我将更深入地讨论SQL Server安全性。现在，我想说的是，Im不会尝试在接下来的20分钟内为您提供保护SQL Server所需的一切；这似乎有些艰巨。因此，即使是开始，我想说的是，您可以肯定有一些在线小组和在线资源，可以在Google上找到，也有书籍，在Microsoft上有最佳实践文档，在SQL Server上为专业人员提供了安全的虚拟章节，他们位于security.pass.org上，我相信，他们每月都会进行网络广播和网络广播的录音，以便对真实，深入的SQL Server安全性做些了解。但是，这些是我作为数据专业人员，IT专业人员和DBA与您交谈的一些事情，我希望您知道您需要了解SQL Server安全性。

因此，第一个是物理安全性。因此，就像我之前说的，窃取物理媒体仍然非常普遍。因此，我在开发机上给出的场景是在开发机上的数据库副本被盗，这是一个非常常见的媒介，这是您需要了解并尝试采取行动的媒介。备份安全性也是如此，因此，每当您备份数据时，都需要以加密方式备份数据，则需要备份到安全位置。很多时候，这些真正在数据库中受到保护的数据一开始进入外围位置，进入开发机器，进入测试机器，我们对补丁的注意就少了一些，我们得到的却少了一些小心访问它的人。接下来您会知道，未加密的数据库备份存储在组织中的公共共享上，可供许多不同的人利用。因此，考虑一下物理安全性，就这么简单，有人可以走过去，然后将USB密钥插入服务器吗？您不应允许这样做。

我要让您考虑的下一项是平台安全性，因此是最新的OS，最新的补丁程序。听到人们谈论使用旧版本的Windows，旧版本的SQL Server感到非常厌烦，认为唯一的成本是许可升级的成本，事实并非如此。我们拥有安全性，它的水流不断下坡，随着时间的流逝，发现了更多的漏洞。在这种情况下，Microsoft和其他情况（视情况而定），他们将更新较旧的系统到一定程度，最终他们将失去支持，并且将不再更新它们，因为这只是一个永无止境的维护过程。

因此，您需要使用受支持的操作系统，并且需要更新其补丁程序，并且我们最近发现与Shadow Brokers一样，在某些情况下，Microsoft可能会在即将发生重大安全漏洞之前对其进行洞察。公开之前，不要让自己陷入混乱。我宁愿不停工，宁愿等待并阅读其中的每一项并做出决定。您可能不知道它的价值，直到找出导致此补丁的原因几周之后。因此，请紧随其后。

您应该配置防火墙。令人震惊的是，在SNB漏洞中，有多少人正在运行旧版本的SQL Server，而防火墙完全向Internet开放，因此任何人都可以进入并使用他们的服务器做他们想做的事。您应该使用防火墙。您偶尔需要配置规则或对业务进行特定例外处理的事实是可以接受的价格。您需要控制数据库系统中的外围应用程序–是在同一台计算机上共同安装服务或Web服务器（如IIS）吗？共享相同的磁盘空间，共享与数据库和私有数据相同的内存空间？尽量不要这样做，尝试隔离它，保持较小的表面积，这样就不必担心确保所有这些数据在数据库顶部都是安全的。您可以从物理上分离那些东西，平台，分离它们，给自己一点呼吸空间。

您不应该让超级管理员到处都可以访问所有数据。 OS管理员帐户可能不一定需要通过加密访问您的数据库或数据库中的基础数据，有关这些的讨论将在一分钟内进行。而对数据库文件的访问，也需要限制。如果您要说的是，那真是愚蠢，有人无法通过数据库访问这些数据库。 SQL Server本身不允许他们访问它，但是如果可以，他们可以四处走走，获取实际MDF文件的副本，简单地将其移动，然后将其附加到自己的SQL Server上，您实际上并没有取得很大的成就。

加密，所以加密是著名的双向剑。您可以在OS级别上进行许多不同级别的加密，而SQL和Windows的现代处理方式是使用BitLocker，而在数据库级别上称为TDE或透明数据加密。因此，这两种方式都可以使您的数据保持加密状态。如果您想对数据进行更全面的加密，则可以进行加密-抱歉，Ive领先一步。您可以进行加密连接，以便在传输过程中仍保持加密状态，这样，如果有人在侦听或有人在攻击中，您就可以通过网络保护该数据。您的备份需要进行加密，就像我说的那样，其他人可能可以访问它们，然后，如果您希望在内存中使用它进行加密，并且在使用过程中，我们已经对列进行了加密，那么SQL 2016就有了“始终加密”的概念它实际上是在磁盘，内存，网络上实际加密的，一直到实际使用数据的应用程序。

现在，所有这些加密都不是免费的：存在CPU开销，有时存在列加密和始终加密的情况，就性能而言，就数据的查找能力而言，这是有影响的。但是，这种加密方法如果正确组合在一起，则意味着如果有人可以访问您的数据，则损失会大大减轻，因为他们能够获得该数据，然后就无法对其进行任何操作。但是，这也是勒索软件工作的方式，即有人进入并使用自己的证书或密码打开了这些项目，而您无权访问。因此，这就是为什么重要的是要确保您这样做，并且您可以访问它，但您不给予它，则欢迎其他人和攻击者这样做。

然后，安全原则–我不会为此感到困惑，但是请确保您没有让每个用户都以超级管理员的身份在SQL Server中运行。您的开发人员可能想要它，不同的用户可能想要它–他们因不得不请求访问单个项目而感到沮丧–但是您需要对此进行努力，即使它可能更复杂，也可以访问对象和数据库以及对正在进行的工作有效的模式，并且有一个特殊情况，也许这意味着特殊的登录，对于一般情况下的用户而言，这不一定意味着权限的提高。

然后，与此相关的是法规遵从性考虑因素，并且某些情况实际上可能会以自己的方式发生—因此，HIPAA，SOX，PCI –存在所有这些不同的考虑因素。而且，当您进行审核时，您将被期望表明您正在采取行动以保持对此的遵守。因此，作为DBA待办事项清单，您需要努力确保安全的物理加密配置，要确保为了遵从性而对访问该数据的访问进行审核，这是需要跟踪的很多事情。 ，请确保您的敏感列知道它们是什么，它们在哪里，应该加密哪些列并注意对其的访问。并确保配置符合您所遵循的法规准则。随着情况的变化，您必须保持所有这些都是最新的。

因此，有很多事情要做，所以如果我把它留在那儿，我会说去做。但是有很多不同的工具，因此，如果我在过去的几分钟内，我想向您展示我们在IDERA拥有的一些工具。我今天想谈的两个是SQL Secure和SQL Compliance Manager。 SQL Secure是我们的工具，可帮助您识别各种配置漏洞。您的安全策略，用户权限，外围应用配置。它具有模板，可帮助您遵守不同的法规框架。这本身，即最后一行，可能是人们考虑它的原因。因为通读了这些不同的法规并弄清了这些法规的含义，所以将PCI一直带到我店里的SQL Server，这是很多工作。那就是您可以花很多咨询费来做的事情；我们已经进行了咨询，与不同的审计公司等合作，提出了这些模板的含义-如果这些模板到位，则很可能会通过审核。然后，您可以在环境中使用这些模板并查看它们。

我们还以SQL Compliance Manager的形式提供了另一种姊妹工具，这就是SQL Secure与配置设置有关的地方。 SQL Compliance Manager是关于查看由谁，何时进行的操作。因此，通过对其进行审核，您可以监视活动的发生，并检测和跟踪谁在访问事物。是否有人出于好奇而有人去检查他们的信息吗？典型的例子是名人进入您的医院吗？他们有理由这样做吗？您可以查看审核历史记录，看看正在发生什么，谁在访问这些记录。而且您可以确定它具有可帮助您识别敏感列的工具，因此您不必一定要通读并自己做。

因此，如果可以的话，我会在最近的几分钟内继续向您展示其中一些工具-请不要将其视为深入的演示。我是产品经理，而不是销售工程师，因此我将向您展示一些我认为与此次讨论相关的内容。因此，这是我们的SQL Secure产品。正如您在此处看到的，我得到了这种高级报告卡。我认为是昨天进行的。它向我展示了一些未正确设置的事情和一些正确设置的事情。因此，您可以看到我们在这里完成了100多种不同的检查。而且我可以看到我对我所做的备份进行了备份加密，而我从未使用过备份加密。我的SA帐户（明确命名为“ SA帐户”）未禁用或重命名。公共服务器角色具有权限，因此这些都是我可能要查看的所有更改。

我已经在这里设置了策略，因此，如果我想设置一个新策略以应用于我的服务器，我们将拥有所有这些内置策略。因此，我将使用现有的策略模板，您会看到我拥有CIS，HIPAA，PCI，SR等等，并且实际上，我们正在根据人们在现场需要的东西不断添加其他策略。您还可以创建新策略，因此，如果您知道审计师在寻找什么，则可以自己创建。然后，当您这样做时，可以在所有这些不同的设置中进行选择，这些设置需要您进行设置，在某些情况下，您需要进行一些设置-让我回过头来找到一个预制的设置。这很方便，我可以选择HIPAA –我已经有了HIPAA，我的坏选择– PCI，然后，当我在此处单击时，我实际上可以看到对该规则部分的外部交叉引用。相关。这样一来，当您尝试找出我为什么要设置此设置时，这将对您有所帮助。我为什么要看这个？这与哪个部分有关？

这也有一个不错的工具，它可以让您进入并浏览用户，因此，探索用户角色的棘手事情之一就是，实际上，我要在这里看看。因此，如果我显示我的权限，让我们来看一下，让我们在此处选择用户。显示权限。我可以看到为该服务器分配的权限，但是然后我可以单击此处并计算有效权限，它会基于此完整列表，因此在这种情况下，它是admin，因此它并不令人兴奋，但我可以根据他们可能属于的所有不同组，来挑选不同的用户并查看他们的有效权限是什么。如果您尝试自己执行此操作，那么可能会很麻烦，要弄清楚，该用户是这些组的成员，因此可以通过组等访问这些内容。

因此，此产品的工作方式是获取快照，因此，定期获取服务器快照并不是很困难的过程，然后随着时间的推移保留这些快照，以便您可以比较更改。因此，这不是像性能监视工具这样的传统意义上的连续监视。您可能已将其设置为每晚运行一次，每周运行一次-但是您经常认为这是有效的-因此，每当您进行分析并且再进行更多操作时，您实际上就可以在我们的工具内工作。您并没有那么多地连接回服务器，因此这是一个非常不错的小工具，可以用来与这些静态设置保持一致。

我想向您展示的另一个工具是我们的Compliance Manager工具。 Compliance Manager将以更连续的方式进行监视。它将查看谁在服务器上执行操作并允许您对其进行查看。因此，在过去的大约两个小时内，我已经在这里做了些什么，实际上我试图制造一些小问题。因此，在这里我可能知道它是否有问题，有人实际上已经创建了一个登录名并将其添加到服务器角色中。所以，如果我进去看看，我可以看到-我想我不能右键单击那里，我可以看到发生了什么。因此，这是我的仪表板，我可以看到今天早些时候登录失败了很多。我有一堆安全活动，即DBL活动。

因此，让我来看一下我的审核事件并进行查看。在这里，我已经按照类别和目标对象对我的审核事件进行了分组，因此，如果我从较早时开始了解该安全性，我会看到DemoNewUser，此创建​​服务器登录已发生。而且我可以看到登录SA在此处下午2:42创建了这个DemoNewUser帐户。然后，我可以看到依次将登录添加到服务器，此DemoNewUser被添加到服务器admin组，它们被添加到setup admin组，它们被添加到sysadmin组。所以，那是我想知道的事情。 Ive还对其进行了设置，以便跟踪表中的敏感列，从而可以看到谁在访问它。

因此，在这里，我已经从Adventure Works的个人表中进行了一些选择。我可以看一下，Adventure Works桌子上的用户SA从个人点名者中选出了前十名明星。因此，也许在我的组织中，我不希望人们从点个人那里选择星星，或者Im希望只有某些用户这样做，所以Im会在这里看到它。因此，根据您的审计需要，我们可以根据框架进行设置，这是一种更加密集的工具。根据版本，它正在使用SQL Trace或SQLX事件。这是您必须在服务器上留出一定空间来容纳的东西，但其中之一是类似保险，如果我们不必购买汽车保险，那就太好了–这是我们不愿付出的代价必须采取的措施-但是，如果您确实拥有一台服务器，需要跟踪谁在做什么，则可能需要额外的空间和类似的工具来执行此操作。无论您是使用我们的工具还是自己滚动工具，最终都将负责为合规性目的而拥有此信息。

因此，就像我说的，这不是一个深入的演示，只是一个简短的摘要。我还想以这种SQL列搜索的形式向您展示一个快速，免费的免费工具，您可以使用它来识别环境中的哪些列似乎是敏感信息。因此，我们有许多搜索配置，在其中搜索通常包含敏感数据的列的不同名称，然后Ive获得了已被识别的整个列表。我有120个，然后将它们导出到这里，以便我可以用它们说，放手看看，并确保Im跟踪对中间名，一个人的点名人员或营业税率等的访问。

我知道我们在这里的时间快要结束了。这就是我实际上要向您展示的所有内容，所以对我有什么疑问吗？

埃里克·卡瓦纳（Eric Kavanagh）： 我确实有几个适合你的。让我在这里向上滚动。一位与会者提出了一个非常好的问题。其中之一是询问绩效税，所以我知道它因解决方案而异，但是您对使用IDERA安全工具的绩效税有什么一般认识？

Vicky Harp： 因此，就像我说的那样，在SQL Secure上，它的性能很低，只是偶尔拍摄一些快照。即使您经常运行，它也会获得有关设置的静态信息，因此它非常低，几乎可以忽略不计。就合规经理而言，它是-

埃里克·卡瓦纳（Eric Kavanagh）： 像百分之一？

Vicky Harp： 如果我必须给出一个百分比数字，是的，它将是一个百分比或更低。有关使用SSMS并进入安全性选项卡和扩展内容的顺序的基本信息。在合规性方面，它要高得多-这就是为什么我说它需要一点空间-它在性能监控方面有点超出您的能力。现在，我不想吓到人们远离它，这是合规性监视的窍门，并且如果要进行审核是确保您仅审核将要采取的措施，那我就不要害怕。因此，一旦您过滤说：“嘿，我想知道何时人们访问这些特定表，并且我想知道何时人们访问这些特定表，”然后将基于这些事情的发生频率发生的事情以及您生成多少数据。如果您说“我希望在这些表中的任何一个上进行所有选择的完整SQL”，那将可能是必须由存储到我们产品中的SQL Server解析的千兆字节和千兆字节数据。 。

如果将其限制在一个范围之内，那么它还将提供比您可能处理的更多的信息。如果您可以将其缩减为较小的集合，以使您每天获得几百次活动，那么那显然要低得多。因此，实际上，在某些方面，天空是极限。如果您打开所有监视的所有设置中的所有设置，那么可以，这将使性能降低50％。但是，如果您打算将其转变为更温和，经过考虑的水平，我可能会同意10％？实际上，它的一件事就是非常依赖于您的工作量。

埃里克·卡瓦纳（Eric Kavanagh）： 是的，对。还有另一个关于硬件的问题。然后，有硬件供应商加入游戏，并与软件供应商进行真正的合作，我通过“问与答”窗口进行了回答。我知道Cloudera与Intel合作的一个特例，Intel在Intel上进行了巨额投资，而演算的部分原因是Cloudera可以尽早使用芯片设计，从而能够将安全性提高到Intel的芯片级别。建筑，这非常令人印象深刻。但是，尽管如此，它的确有待解决，但仍然可以被双方利用。您是否知道硬件供应商在安全协议上与软件供应商合作的任何趋势或趋势？

Vicky Harp： 是的，实际上，我相信Microsoft进行了合作，以便为某些加密工作提供一些存储空间，而这些存储空间实际上发生在与您的主内存分开的主板上的单独芯片上，因此在物理上是分开的。我相信这实际上是微软公司提出的，要求供应商说：“我们能否提出一种制造这种存储器的方法，基本上是其无法寻址的存储器，我无法通过缓冲区溢出来获得该存储器？ ，因为从某种意义上说它甚至还不存在，所以我确实知道其中一些正在发生。”

埃里克·卡瓦纳（Eric Kavanagh）： 是的

Vicky Harp： 那显然很可能是真正的大厂商。

埃里克·卡瓦纳（Eric Kavanagh）： 是的我很想知道，也许罗宾（Robin），如果您有一秒钟的时间，我很想知道您多年来的经验，因为同样，在硬件方面，在您投入的实际材料科学方面从供应商的角度来看，这些信息可以传递给双方，并且理论上我们可以很快地传递给双方，因此，从设计的角度来看，是否有某种方法可以更谨慎地使用硬件来增强安全性？你怎么看？罗宾，你静音了吗？

罗宾·布卢尔（Robin Bloor）： 是啊。对不起，我在这里；我只是在想这个问题。老实说，我没有意见，这是我尚未深入研究的领域，所以我有点，我知道我可以提出意见，但我真的不知道。我更喜欢安全的软件，基本上这就是我的游戏方式。

埃里克·卡瓦纳（Eric Kavanagh）： 是的好吧，人们，我们已经烧了一个小时，然后在这里换衣服。非常感谢Vicky Harp的时间和关注-您的所有时间和关注；感谢您为这些事情而出现。这很重要；它不会很快消失。它是一款猫捉老鼠的游戏，它将不断前进。因此，我很感激一些公司在那里专注于实现安全性，但是正如Vicky甚至在她的演讲中提到并谈论了一点，最终，组织中的员工需要非常仔细地考虑这些问题。网络钓鱼攻击，这种社会工程学，并留在笔记本电脑上–不要将其留在咖啡店！更改密码，执行基本操作，您将获得80％的密码。

因此，大家将告别您，再次感谢您的时间和关注。好吧，下次再见，保重。再见。

Vicky Harp： 再见，谢谢。