टेकोपेडिया स्टाफ द्वारा, 10 मई, 2017
Takeaway: होस्ट एरिक कवनघ ने डॉ। रॉबिन ब्लोर और IDERA के विक्की हार्प के साथ सुरक्षा और अनुमतियों पर चर्चा की।
आप वर्तमान में लॉग इन नहीं हैं। वीडियो देखने के लिए कृपया लॉग-इन या साइन-अप करें।
एरिक कवनघ: ठीक है, देवियों और सज्जनों, नमस्कार और फिर से स्वागत है। यह बुधवार है, यह चार पूर्वी है और उद्यम प्रौद्योगिकी की दुनिया में इसका मतलब है कि हॉट टेक्नोलॉजीज के लिए एक बार फिर से समय है! हाँ सचमुच। ब्लूप ग्रुप द्वारा प्रस्तुत, Techopedia में हमारे दोस्तों द्वारा संचालित। आज के लिए विषय वास्तव में एक अच्छा है: "अनुमति मांगना बेहतर: गोपनीयता और सुरक्षा के लिए सर्वोत्तम अभ्यास।" यह सही है, यह एक कठिन विषय है, बहुत से लोग इसके बारे में बात करते हैं, लेकिन यह एक बहुत ही गंभीर है, और यह वास्तव में हर दिन अधिक गंभीर हो रहा है, काफी स्पष्ट रूप से। यह कई संगठनों के लिए कई मायनों में एक गंभीर मुद्दा है। हम उस बारे में बात करने जा रहे हैं और हम इस बारे में बात करने जा रहे हैं कि आप अपने संगठन को इन दिनों होने वाले नापाक चरित्रों से बचाने के लिए क्या कर सकते हैं।
तो आज का प्रस्तुतकर्ता विकी हार्प है जिसे IDERA से कॉल किया जा रहा है। आप लिंक्डइन पर IDERA सॉफ्टवेयर देख सकते हैं - मुझे लिंक्डइन पर नई कार्यक्षमता पसंद है। हालांकि मैं बता सकता हूं कि वे कुछ तरीकों से कुछ तार खींच रहे हैं, आपको लोगों तक पहुंचने नहीं दे रहे हैं, आपको उन प्रीमियम सदस्यता खरीदने की कोशिश कर रहे हैं। वहाँ आप जाते हैं, हमारे पास अपना बहुत ही रॉबिन ब्लर है, जिसे डायल करते हुए - वह वास्तव में आज सैन डिएगो क्षेत्र में है। और तुम्हारा वास्तव में अपने मध्यस्थ / विश्लेषक के रूप में।
तो हम किस बारे में बात कर रहे हैं? डेटा ब्रीच। मैंने सिर्फ IdentityForce.com से यह जानकारी ली, यह पहले से ही दौड़ से दूर है। हम इस वर्ष के पाठ्यक्रम के मई में हैं, और याहू द्वारा बस कुछ ही डेटा ब्रीच हैं, वास्तव में कुछ विशाल हैं; एक बड़ी बात थी, और हमने बेशक अमेरिकी सरकार को हैक होने के बारे में सुना। हमने अभी-अभी फ्रांसीसी चुनावों को हैक किया था।
यह सब जगह हो रहा है, यह जारी है और यह रुकने वाला नहीं है, इसलिए यह एक वास्तविकता है, यह नई वास्तविकता है, जैसा कि वे कहते हैं। हमें वास्तव में अपने सिस्टम और अपने डेटा की सुरक्षा को लागू करने के तरीकों के बारे में सोचने की आवश्यकता है। और यह एक सतत प्रक्रिया है, इसलिए यह समय के लिए सभी अलग-अलग मुद्दों के बारे में सोचने के लिए है जो खेल में आते हैं। यह सिर्फ एक आंशिक सूची है, लेकिन यह आपको कुछ दृष्टिकोण देता है कि इन दिनों उद्यम प्रणालियों के साथ स्थिति कितनी अनिश्चित है। और इस शो से पहले, हमारे पूर्व-शो भोज में हम रैंसमवेयर के बारे में बात कर रहे थे जिसने किसी ऐसे व्यक्ति को मारा है जिसे मैं जानता हूं, जो कि एक बहुत ही अप्रिय अनुभव है, जब कोई आपके आईफोन को लेता है और आपसे अपने फोन तक वापस पहुंचने के लिए पैसे की मांग करता है। लेकिन ऐसा होता है, यह कंप्यूटरों के लिए होता है, यह सिस्टमों के लिए होता है, मैंने दूसरे दिन ही देखा, यह उनकी नौकाओं के साथ अरबपतियों के लिए हो रहा है। एक दिन अपने नौका पर जाने की कल्पना करें, अपने सभी दोस्तों को प्रभावित करने की कोशिश कर रहा है और आप इसे चालू भी नहीं कर सकते, क्योंकि कुछ चोरों ने नियंत्रण कक्ष, नियंत्रण कक्ष तक पहुंच चुरा ली है। मैंने सिर्फ दूसरे दिन किसी को दिए इंटरव्यू में कहा, हमेशा मैनुअल ओवरराइड करें। जैसे, मैं सभी कनेक्टेड कारों का बड़ा प्रशंसक नहीं हूं - यहां तक कि कारों को भी हैक किया जा सकता है। कुछ भी जो इंटरनेट से जुड़ा है, या एक नेटवर्क से जुड़ा है जिसे घुसना किया जा सकता है, कुछ भी हैक किया जा सकता है।
तो, यहाँ केवल कुछ आइटम हैं जो इस संदर्भ में विचार करने के संदर्भ में विचार करते हैं कि स्थिति कितनी गंभीर है। वेब-आधारित प्रणालियां इन दिनों हर जगह हैं, वे प्रसार करना जारी रखती हैं। कितने लोग ऑनलाइन सामान खरीदते हैं? यह सिर्फ इन दिनों छत के माध्यम से है, यही कारण है कि अमेज़न इन दिनों इतनी शक्तिशाली है। ऐसा इसलिए है क्योंकि बहुत से लोग ऑनलाइन सामान खरीद रहे हैं।
तो, आपको याद है कि 15 साल पहले, लोग अपनी जानकारी प्राप्त करने के लिए अपने क्रेडिट कार्ड को वेब फॉर्म में डालने से बहुत घबराए हुए थे, और फिर, तर्क यह था, "ठीक है, अगर आप अपना क्रेडिट कार्ड किसी वेटर को सौंप देते हैं एक रेस्तरां, फिर वही बात। "तो, हमारा जवाब है हाँ, यह एक ही चीज़ है, इन सभी नियंत्रण बिंदुओं या एक्सेस पॉइंट्स, एक ही चीज़, एक ही सिक्के के अलग-अलग पक्ष हैं, जहाँ लोगों को रखा जा सकता है। संकट में, जहाँ कोई आपका पैसा ले सकता है, या कोई आपसे चोरी कर सकता है।
तब IoT बेशक खतरे का विस्तार करता है - मुझे वह शब्द पसंद है - परिमाण के आदेशों से। मेरा मतलब है, इसके बारे में सोचें - इन सभी नए उपकरणों के साथ हर जगह, अगर कोई ऐसी प्रणाली में हैक कर सकता है जो उन्हें नियंत्रित करता है, तो वे आपके खिलाफ उन सभी बॉट को चालू कर सकते हैं और बहुत सारी और बहुत सारी समस्याएं पैदा कर सकते हैं, इसलिए यह एक बहुत ही गंभीर मुद्दा है। हमारे पास इन दिनों एक वैश्विक अर्थव्यवस्था है, जो खतरे के निशान को और भी अधिक बढ़ाती है, और जो अधिक है, आपके पास अन्य देशों के लोग हैं जो वेब पर उसी तरह से पहुंच सकते हैं जैसे आप और मैं कर सकते हैं, और यदि आप रूसी नहीं जानते हैं, या अन्य भाषाओं की संख्या, आप एक कठिन समय समझने जा रहे हैं कि आपके सिस्टम में हैक होने पर क्या हो रहा है। इसलिए हमारे पास नेटवर्किंग और वर्चुअलाइजेशन में प्रगति है, अच्छी बात है।
लेकिन मेरे पास इस तस्वीर के दाईं ओर है, एक तलवार और मेरे पास इसका कारण यह है कि हर तलवार दोनों तरीकों से काटती है। यह एक दोधारी तलवार है, जैसा कि वे कहते हैं, और यह एक पुरानी क्लिच है, लेकिन इसका मतलब है कि मेरे पास जो तलवार है वह आपको नुकसान पहुंचा सकती है या यह मुझे नुकसान पहुंचा सकती है। यह मुझ पर वापस आ सकता है, या तो वापस उछल कर, या किसी को लेने से। यह वास्तव में ईसप की दंतकथाओं में से एक है - हम अक्सर अपने दुश्मनों को अपने विनाश के उपकरण देते हैं। यह वास्तव में काफी सम्मोहक कहानी है और किसी ऐसे व्यक्ति के साथ क्या करना है जिसने धनुष और तीर का इस्तेमाल किया और एक पक्षी को गोली मार दी और पक्षी ने देखा, जैसे कि तीर आ रहा था, उसके पंख मित्रों में से एक तीर के किनारे पर था। इसे निर्देशित करने के लिए तीर की पीठ पर, और उसने खुद को सोचा, "ओह यार, यहाँ यह है, मेरे अपने पंख, मेरे अपने परिवार का उपयोग मुझे नीचे ले जाने के लिए किया जा रहा है।" ऐसा हर समय होता है, आप सुनते हैं। आपके पास घर में एक बंदूक है, चोर बंदूक ले जा सकता है। खैर, यह सब सच है। इसलिए, मैं इस पर विचार करने के लिए एक सादृश्य के रूप में इसे बाहर फेंक रहा हूं, इन सभी अलग-अलग घटनाओं में सकारात्मक पक्ष और नकारात्मक पक्ष हैं।
और आप में से उन लोगों के लिए कंटेनरों की बात करना जो वास्तव में एंटरप्राइज कंप्यूटिंग के अत्याधुनिक कार्यों का पालन करते हैं, कंटेनर नवीनतम चीज़ हैं, कार्यक्षमता प्रदान करने का नवीनतम तरीका है, यह वास्तव में सर्विस-ओरिएंटेड आर्किटेक्चर में वर्चुअलाइजेशन का विवाह है, कम से कम माइक्रोसोर्विस के लिए और यह बहुत दिलचस्प सामान। कंटेनरों का उपयोग करके आप निश्चित रूप से अपने सुरक्षा प्रोटोकॉल और अपने एप्लिकेशन प्रोटोकॉल और अपने डेटा और इसके बाद के कार्यों को बाधित कर सकते हैं, और यह आपको कुछ समय के लिए अग्रिम देता है, लेकिन जितनी जल्दी या बाद में, बुरे लोग यह पता लगाने जा रहे हैं, और तब उन्हें आपके सिस्टम का लाभ उठाने से रोकने के लिए और भी कठिन होने जा रहा है। तो, वहाँ है कि, वहाँ वैश्विक कार्यबल है जो नेटवर्क और सुरक्षा को जटिल करता है, और जहां लोग लॉग इन कर रहे हैं।
हमें ब्राउज़र वार्स मिले हैं जो एपस जारी रखते हैं, और अपडेट करने और चीजों के शीर्ष पर बने रहने के लिए निरंतर काम की आवश्यकता होती है। हम पुराने Microsoft एक्सप्लोरर ब्राउज़रों के बारे में सुनते रहते हैं कि उन्हें कैसे हैक किया गया और वहां उपलब्ध था। इसलिए, इन दिनों हैकिंग में और अधिक पैसा है, एक पूरी इंडस्ट्री है, यह कुछ ऐसा है जो मेरे साथी, डॉ। ब्लोर ने आठ साल पहले मुझे सिखाया था - मैं सोच रहा था कि हम इसे इतना क्यों देख रहे हैं, और उसने याद दिलाया मुझे, यह हैकिंग में शामिल एक संपूर्ण उद्योग है। और उस अर्थ में, कथा, जो सुरक्षा के बारे में मेरे सबसे कम पसंदीदा शब्दों में से एक है, वास्तव में बहुत ही बेईमानी है, क्योंकि कथा आपको इन सभी वीडियो में दिखाती है और किसी भी तरह का समाचार कवरेज कुछ हैकिंग वे किसी हूडि में बैठे आदमी को दिखाते हैं एक अंधेरे कमरे में अपने तहखाने में, यह बिल्कुल भी नहीं है। यह वास्तविकता के सभी प्रतिनिधि में नहीं है। यह अकेला हैकर्स है, बहुत कम अकेले हैकर्स हैं, वे वहां से बाहर हैं, वे कुछ परेशानी पैदा कर रहे हैं - वे बड़ी परेशानी पैदा करने वाले नहीं हैं, लेकिन वे बहुत सारा पैसा कमा सकते हैं। तो क्या होता है हैकर्स अंदर आते हैं, और आपके सिस्टम में घुसते हैं और फिर उस एक्सेस को किसी और को बेचते हैं, जो उसे घुमाता है और किसी और को बेचता है, और फिर कहीं लाइन के नीचे, कोई उस हैक का फायदा उठाता है और आपका फायदा उठाता है। और चुराए गए डेटा का लाभ उठाने के अनगिनत तरीके हैं।
मैं भी अपने आप को इस बारे में अचंभित कर रहा हूं कि हम इस अवधारणा को कैसे ग्लैमराइज कर रहे हैं। आप हर जगह इस शब्द को देखते हैं, "विकास हैकिंग" जैसे यह एक अच्छी बात है। ग्रोथ हैकिंग, आप जानते हैं, हैकिंग एक अच्छी बात हो सकती है, यदि आप अच्छे लोगों के लिए काम करने की कोशिश कर रहे हैं तो एक सिस्टम में बात करें और हैक करें, जैसे हम उत्तर कोरिया और उनके मिसाइल लॉन्च के बारे में सुनते रहते हैं, संभवतः हैक किया जा रहा है - यह अच्छी बात है। लेकिन हैकिंग अक्सर एक बुरी चीज है। तो अब हम इसे ग्लैमराइज़ कर रहे हैं, लगभग रॉबिन हुड की तरह, जब हमने रॉबिन हुड को ग्लैमराइज़ किया। और फिर कैशलेस सोसाइटी है, कुछ ऐसा है जो स्पष्ट रूप से मेरे बारे में दिन के उजाले की चिंता करता है। मुझे लगता है कि हर बार मुझे लगता है कि यह है, "नहीं, कृपया यह मत करो! कृपया नहीं! ”मैं नहीं चाहता कि हमारा सारा पैसा गायब हो जाए। तो, ये विचार करने के लिए सिर्फ कुछ मुद्दे हैं, और फिर, यह एक बिल्ली-और-माउस का खेल है; यह कभी रुकने वाला नहीं है, हमेशा सुरक्षा प्रोटोकॉल और सुरक्षा प्रोटोकॉल को आगे बढ़ाने की आवश्यकता होगी। और आपके सिस्टम की निगरानी के लिए यहां तक कि यह जानने और संवेदन के लिए कि वहां कौन है, समझ के साथ यह अंदर का काम भी हो सकता है। इसलिए, यह एक जारी समस्या है, यह काफी समय से एक जारी मुद्दा है - इस बारे में कोई गलती न करें।
और इसके साथ, मैं इसे डॉ। ब्लोर को सौंपने जा रहा हूं, जो डेटाबेस हासिल करने के बारे में हमारे साथ कुछ विचार साझा कर सकते हैं। रॉबिन, इसे दूर ले जाओ।
रॉबिन ब्लोर: ठीक है, दिलचस्प हैक्स में से एक, मुझे लगता है कि यह लगभग पांच साल पहले हुआ था, लेकिन मूल रूप से यह एक कार्ड प्रोसेसिंग कंपनी थी जिसे हैक किया गया था। और बड़ी संख्या में कार्ड विवरण चोरी हो गए। लेकिन इसके बारे में दिलचस्प बात, मेरे लिए, यह तथ्य था कि यह परीक्षण डेटाबेस था जो वे वास्तव में मिल गए थे, और यह संभवतः मामला था कि उन्हें प्रसंस्करण कार्डों के वास्तविक, वास्तविक डेटाबेस में आने में बहुत कठिनाई हुई थी। लेकिन आप जानते हैं कि यह डेवलपर्स के साथ कैसा है, वे सिर्फ एक डेटाबेस में कटौती करते हैं, इसे वहां भेजते हैं। इसे रोकने के लिए कहीं अधिक सतर्कता बरतनी पड़ती। लेकिन दिलचस्प हैकिंग कहानियां बहुत हैं, यह एक क्षेत्र में बनाता है, यह एक बहुत ही दिलचस्प विषय बनाता है।
इसलिए मैं वास्तव में, एक या दूसरे तरीके से जा रहा हूं, एरिक ने कहा कि कुछ चीजें दोहराएं, लेकिन डेटा सुरक्षा को एक स्थिर लक्ष्य के रूप में सोचना आसान है; यह सिर्फ इसलिए आसान है क्योंकि स्थैतिक स्थितियों का विश्लेषण करना आसान है और फिर वहां बचाव करना, बचाव करना, लेकिन ऐसा नहीं है। यह लक्ष्यीकरण है और यह उन चीजों में से एक है जो संपूर्ण सुरक्षा स्थान को परिभाषित करता है। यह सिर्फ इस तरह से है कि सभी तकनीक विकसित होती है, वैसे ही बुरे लोगों की तकनीक विकसित होती है। तो, संक्षिप्त अवलोकन: डेटा चोरी कोई नई बात नहीं है, वास्तविक तथ्य में, डेटा जासूसी डेटा चोरी है और यह हजारों वर्षों से चल रहा है, मुझे लगता है।
उन शब्दों में सबसे बड़ा डेटा उत्तराधिकारी ब्रिटिश कोड को तोड़ना था और अमेरिकियों ने जापानी कोड को तोड़ दिया, और दोनों ही उदाहरणों में उन्होंने युद्ध को बहुत कम कर दिया। और वे सिर्फ उपयोगी और मूल्यवान डेटा चुरा रहे थे, यह बहुत चालाक था, लेकिन आप जानते हैं, जो अभी चल रहा है वह बहुत सारे तरीकों से बहुत चालाक है। साइबर चोरी इंटरनेट के साथ पैदा हुई थी और 2005 के आसपास विस्फोट हो गया था। मैंने जाकर सभी आँकड़ों को देखा और जब आप वास्तव में गंभीर होने लगे और किसी तरह से या अन्य, उल्लेखनीय रूप से उच्च संख्या 2005 के बारे में शुरू हुई। यह तब से ही खराब है। फिर। कई खिलाड़ी, सरकारें शामिल हैं, व्यवसाय शामिल हैं, हैकर समूह और व्यक्ति।
मैं मास्को गया - जो कि लगभग पाँच साल का रहा होगा - और मैंने वास्तव में यूके के एक लड़के के साथ बहुत समय बिताया, जो हैकिंग स्पेस के बारे में पूरी तरह से शोध कर रहा है। और उन्होंने कहा कि - और मुझे पता नहीं है कि क्या यह सच है, मुझे केवल इसके लिए अपना शब्द मिला है, लेकिन यह बहुत संभावना है - कि रूस में बिजनेस नेटवर्क नामक एक चीज है, जो हैकर्स का एक समूह है जो सभी हैं, आप जानते हैं, वे केजीबी के खंडहर से बाहर आए। और वे खुद को बेचते हैं, न कि बस, मेरा मतलब है, मुझे यकीन है कि रूसी सरकार उनका उपयोग करती है, लेकिन वे खुद को किसी को बेचते हैं, और यह अफवाह थी, या उन्होंने कहा कि यह अफवाह थी, कि विभिन्न विदेशी सरकारें बिजनेस नेटवर्क के लिए उपयोग कर रही थीं प्रशंसनीय खंडन। इन लोगों के पास लाखों समझौता किए गए पीसी के नेटवर्क थे जिनसे वे हमला कर सकते थे। और वे सभी उपकरण थे जिनकी आप कल्पना कर सकते हैं।
इसलिए, हमले और रक्षा की तकनीक विकसित हुई। और व्यवसायों का अपने डेटा पर ध्यान रखने का कर्तव्य है, चाहे वे इसके मालिक हों या नहीं। और यह विनियमन के विभिन्न टुकड़ों के संदर्भ में बहुत स्पष्ट होना शुरू हो रहा है जो वास्तव में पहले से ही लागू हैं, या बल में आ रहे हैं। और किसी के एक या किसी अन्य तरीके से सुधार करने की संभावना है, किसी को हैकिंग की लागत को इस तरह से सहन करना पड़ता है कि वे संभावना को बंद करने के लिए प्रोत्साहित होते हैं। यह उन चीजों में से एक है जो मुझे लगता है कि आवश्यक है। तो हैकर्स के बारे में, वे कहीं भी स्थित हो सकते हैं। विशेष रूप से आपके संगठन के भीतर - सरल हैक का एक बहुत कुछ है जो मैंने किसी को दरवाजा खोलने में शामिल होने के बारे में सुना है। आप जानते हैं कि व्यक्ति, यह बैंक लुटेरा स्थिति की तरह है, लगभग हमेशा वे अच्छे बैंक डकैतियों में कहते थे कि एक अंदरूनी सूत्र है। लेकिन अंदरूनी सूत्र को केवल जानकारी देने की आवश्यकता है, इसलिए उन्हें प्राप्त करना मुश्किल है, यह जानने के लिए कि यह कौन था, और इसी तरह और आगे।
और उन्हें न्याय में लाना मुश्किल हो सकता है, क्योंकि अगर आपको मोल्दोवा में लोगों के एक समूह द्वारा हैक किया गया है, भले ही आपको पता हो कि यह वह समूह था, आप उनके आसपास किसी प्रकार की कानूनी घटना कैसे करने जा रहे हैं? यह एक प्रकार का क्षेत्र है, एक क्षेत्राधिकार से दूसरे में, यह बस है, हैकर्स को पिन करने के लिए अंतर्राष्ट्रीय व्यवस्था का बहुत अच्छा सेट नहीं है। वे प्रौद्योगिकी और जानकारी साझा करते हैं; इसका एक बहुत खुला स्रोत है। यदि आप अपना खुद का वायरस बनाना चाहते हैं, तो वहाँ से वायरस किट का भार है - पूरी तरह से खुला स्रोत। और उनके पास पर्याप्त संसाधन हैं, एक संख्या है जो डेटा सेंटरों और पीसी और इतने पर एक मिलियन से अधिक समझौता किए गए उपकरणों में बॉटनेट थे। कुछ लाभदायक व्यवसाय हैं जो लंबे समय से चल रहे हैं, और फिर वहाँ सरकारी समूह हैं, जैसा कि मैंने उल्लेख किया है। यह संभव नहीं है, जैसा कि एरिक ने कहा, यह संभावना नहीं है कि यह घटना कभी समाप्त होने वाली है।
इसलिए, यह एक दिलचस्प हैक है जिसे मैंने सोचा था कि मैं इसका उल्लेख करूंगा, 'क्योंकि यह काफी हालिया हैक था; यह पिछले साल हुआ था। एथेरियम क्रिप्टो सिक्के के साथ जुड़े डीएओ अनुबंध में एक भेद्यता थी। और यह एक मंच पर चर्चा की गई थी, और एक दिन के भीतर, डीएओ अनुबंध को हैक कर लिया गया था, उस भेद्यता का उपयोग करके। ईथर में 50 मिलियन डॉलर बहा दिए गए, जिससे डीएओ परियोजना में तत्काल संकट पैदा हो गया और इसे बंद कर दिया गया। और एथेरियम ने वास्तव में हैकर को पैसों की पहुंच से दूर रखने की कोशिश करने के लिए लड़ाई लड़ी, और उन्होंने उसके लेने को कम कर दिया। लेकिन यह भी माना जाता था - यह सुनिश्चित करने के लिए नहीं जाना जाता है - कि हैकर ने वास्तव में अपने हमले से पहले ईथर की कीमत को छोटा कर दिया, यह जानते हुए कि ईथर की कीमत गिर जाएगी, और इस तरह एक और तरीके से लाभ कमाया।
और यह एक और है, अगर आपको पसंद है, तो स्ट्रेटेजम जो हैकर्स उपयोग कर सकते हैं। यदि वे आपके शेयर की कीमत को नुकसान पहुंचा सकते हैं, और वे जानते हैं कि वे ऐसा करेंगे, तो उनके लिए केवल शेयर की कीमत कम करना और हैक करना आवश्यक है, इसलिए यह एक तरह का है, ये लोग स्मार्ट हैं, आप जानते हैं। और कीमत एकमुश्त पैसे की चोरी, विघटन और फिरौती की है, जिसमें निवेश भी शामिल है, जहां आप स्टॉक को तोड़ते और कम करते हैं, तोड़फोड़, पहचान की चोरी, सभी प्रकार के घोटाले, सिर्फ विज्ञापन के लिए। और यह राजनीतिक, या जाहिर है, सूचना जासूसी करता है और यहां तक कि ऐसे लोग भी हैं जो बग बाउंटी से बाहर रहने वाले हैं जो आप Google, Apple, Facebook - यहां तक कि पेंटागन को हैक करने की कोशिश करके प्राप्त कर सकते हैं, वास्तव में बग बाउंटी देता है। और तुम सिर्फ हैक करते हो; अगर यह सफल है, तो आप बस जाएं और अपने पुरस्कार का दावा करें, और कोई नुकसान नहीं हुआ है, इसलिए यह अच्छी बात है, आप जानते हैं।
मैं अनुपालन और विनियमन का भी उल्लेख कर सकता हूं। सेक्टर की पहल के अलावा, आधिकारिक नियमों का भार है: HIPAA, SOX, FISMA, FERPA और GLBA सभी अमेरिकी कानून हैं। मानक हैं; PCI-DSS एक सामान्य मानक बन गया है। और फिर डेटा स्वामित्व के बारे में आईएसओ 17799 है। राष्ट्रीय नियम यूरोप में भी अलग-अलग हैं। और वर्तमान में GDPR - ग्लोबल डेटा, इसके लिए क्या है? ग्लोबल डेटा प्रोटेक्शन रेगुलेशन, मुझे लगता है कि इसका मतलब है - लेकिन यह अगले साल से लागू हो रहा है। और इसके बारे में दिलचस्प बात यह है कि यह दुनिया भर में लागू होता है। यदि आपके पास 5, 000 या अधिक ग्राहक हैं, जिन्हें आपने व्यक्तिगत जानकारी दी है और वे यूरोप में रहते हैं, तो यूरोप वास्तव में आपको काम पर ले जाएगा, कोई फर्क नहीं पड़ता कि आपका निगम वास्तव में मुख्यालय है, या जहां यह संचालित होता है। और दंड, अधिकतम जुर्माना वार्षिक राजस्व का चार प्रतिशत है, जो अभी बहुत बड़ा है, इसलिए जब यह लागू होगा तो दुनिया पर एक दिलचस्प मोड़ आएगा।
अच्छी तरह से, डीबीएमएस कमजोरियों के बारे में सोचने वाली चीजें, अधिकांश मूल्यवान डेटा वास्तव में डेटाबेस में बैठे हैं। यह मूल्यवान है क्योंकि हमने इसे उपलब्ध कराने और इसे अच्छी तरह से व्यवस्थित करने में बहुत समय लगा दिया है और यह इसे और कमजोर बनाता है, अगर आप वास्तव में सही DBMS प्रतिभूतियों को लागू नहीं करते हैं। जाहिर है, अगर आप इस तरह की चीजों के लिए योजना बनाने जा रहे हैं, तो आपको यह पहचानने की जरूरत है कि पूरे संगठन में कौन सा असुरक्षित डेटा है, यह ध्यान में रखते हुए कि डेटा विभिन्न कारणों से कमजोर हो सकता है। यह ग्राहक डेटा हो सकता है, लेकिन यह समान रूप से आंतरिक दस्तावेज हो सकता है जो जासूसी उद्देश्यों और इतने पर मूल्यवान होगा। सुरक्षा नीति, विशेष रूप से सुरक्षा का उपयोग करने के संबंध में - जो हाल के दिनों में मेरी राय में बहुत कमजोर रहा है, नए खुले स्रोत सामान में - एन्क्रिप्शन उपयोग में अधिक आ रहा है क्योंकि यह बहुत ही ठोस है।
एक सुरक्षा उल्लंघन की लागत, ज्यादातर लोगों को पता नहीं था, लेकिन अगर आप वास्तव में उन संगठनों के साथ देखते हैं जो सुरक्षा उल्लंघनों का सामना कर चुके हैं, तो यह पता चलता है कि सुरक्षा उल्लंघन की लागत अक्सर आपके विचार से अधिक होगी। । और फिर सोचने वाली दूसरी बात है हमले की सतह, क्योंकि किसी भी सॉफ्टवेयर का कोई भी टुकड़ा, आपके संगठनों के साथ चलने पर हमला सतह को प्रस्तुत करता है। इसलिए कोई भी डिवाइस ऐसा ही करें, डेटा चाहे वह कितना भी स्टोर किया जाए। यह सब है, हमले की सतह चीजों की इंटरनेट के साथ बढ़ रही है, हमले की सतह शायद दोगुनी होने वाली है।
तो, अंत में, डीबीए और डेटा सुरक्षा। डेटा सुरक्षा आमतौर पर डीबीए की भूमिका का हिस्सा है। लेकिन यह सहयोगी भी है। और इसे कॉर्पोरेट नीति के अधीन रखने की आवश्यकता है, अन्यथा यह शायद अच्छी तरह से लागू नहीं होगा। यह कहने के बाद, मुझे लगता है कि मैं गेंद को पास कर सकता हूं।
एरिक कवनघ: ठीक है, मुझे विक्की की चाबी दे दो। और आप अपनी स्क्रीन साझा कर सकते हैं या इन स्लाइड्स पर जा सकते हैं, यह आपके ऊपर है, इसे हटा दें।
विक्की हार्प: नहीं, मैं इन स्लाइड्स से शुरू करता हूं, बहुत बहुत धन्यवाद। तो, हाँ, मैं बस एक त्वरित क्षण लेना चाहता था और अपना परिचय देना चाहता था। मैं विक्की हर्प हूं। मैं IDERA सॉफ्टवेयर में SQL उत्पादों के लिए एक प्रबंधक, उत्पाद प्रबंधन हूं, और आप में से जो लोग हमारे साथ परिचित नहीं हो सकते हैं, IDERA के पास कई उत्पाद लाइनें हैं, लेकिन मैं यहां चीजों के SQL सर्वर पक्ष के लिए बोल रहा हूं। और इसलिए, हम प्रदर्शन की निगरानी, सुरक्षा अनुपालन, बैकअप, प्रशासन उपकरण - और यह उनमें से एक तरह की सूची है। और निश्चित रूप से, मैं आज जो बात कर रहा हूं वह सुरक्षा और अनुपालन है।
आज मैं जिस चीज के बारे में बात करना चाहता हूं, वह हमारे उत्पादों के लिए जरूरी नहीं है, हालांकि मैं बाद के कुछ उदाहरणों को दिखाने का इरादा रखता हूं। मैं आपसे डेटाबेस सुरक्षा, डेटाबेस सुरक्षा की दुनिया में कुछ खतरों के बारे में और कुछ बात करना चाहता हूं, कुछ चीजों के बारे में, और कुछ ऐसे परिचयात्मक विचारों के बारे में जो आपको अपने SQL को सुरक्षित करने के लिए देखने की आवश्यकता है। सर्वर डेटाबेस और यह भी सुनिश्चित करने के लिए कि वे नियामक ढांचे के अनुरूप हैं जो आपके अधीन हो सकता है, जैसा कि उल्लेख किया गया था। जगह में कई अलग-अलग नियम हैं; वे विभिन्न उद्योगों, दुनिया भर के विभिन्न स्थानों पर जाते हैं, और ये सोचने वाली बातें हैं।
इसलिए, मैं एक क्षण लेना चाहता हूं और डेटा उल्लंघनों की स्थिति के बारे में बात करना चाहता हूं - और जो पहले से ही यहां चर्चा की गई है, उसके बारे में बहुत अधिक दोहराना नहीं है - मैं हाल ही में इस इंटेल सुरक्षा अनुसंधान अध्ययन पर देख रहा था, और उनके पार - मुझे लगता है 1500 या तो संगठनों के साथ उन्होंने बात की - उनके पास डेटा हानि के उल्लंघन के मामले में औसतन छह सुरक्षा उल्लंघनों थे, और 68 प्रतिशत लोगों को कुछ अर्थों में प्रकटीकरण की आवश्यकता थी, इसलिए उन्होंने शेयर की कीमत को प्रभावित किया, या उन्हें कुछ क्रेडिट करना पड़ा अपने ग्राहकों या अपने कर्मचारियों के लिए निगरानी इत्यादि।
कुछ अन्य रोचक आंकड़े आंतरिक अभिनेता हैं जो 43 प्रतिशत के लिए जिम्मेदार थे। इसलिए, बहुत से लोग हैकर्स और इस तरह के छायादार अर्ध-सरकारी संगठनों या संगठित अपराध, आदि के बारे में बहुत कुछ सोचते हैं, लेकिन आंतरिक अभिनेता अभी भी अपने नियोक्ताओं के खिलाफ मामलों के एक बहुत उच्च अनुपात में सीधे कार्रवाई कर रहे हैं। और कभी-कभी इनसे बचाव करना कठिन हो जाता है, क्योंकि लोगों के पास उस डेटा तक पहुंचने के लिए वैध कारण हो सकते हैं। इसमें से लगभग आधा, किसी अर्थ में 43 प्रतिशत आकस्मिक हानि थी। इसलिए, उदाहरण के लिए, उस मामले में जहां किसी ने डेटा घर ले लिया, और फिर उस डेटा का ट्रैक खो दिया, जो मुझे इस तीसरे बिंदु की ओर ले जाता है, जो भौतिक मीडिया के लिए सामान अभी भी 40 प्रतिशत उल्लंघनों से जुड़ा था। तो, यह USB कुंजी है, यह लोगों के लैपटॉप हैं, यह वास्तविक मीडिया है जिसे भौतिक डिस्क पर जला दिया गया था और भवन से बाहर ले जाया गया था।
यदि आप इस बारे में सोचते हैं, तो क्या आपके पास कोई ऐसा डेवलपर है जिसके पास अपने लैपटॉप पर आपके उत्पादन डेटाबेस की एक प्रति है? फिर वे एक विमान पर चढ़ जाते हैं और वे विमान से उतर जाते हैं, और उन्हें चेक किया हुआ सामान मिलता है और उनका लैपटॉप चोरी हो जाता है। अब आपके पास एक डेटा ब्रीच है। आप जरूरी नहीं सोच सकते हैं कि यही कारण है कि लैपटॉप ले लिया गया था, यह कभी जंगली में नहीं दिखा सकता है। लेकिन यह अभी भी कुछ है जो एक उल्लंघन के रूप में गिना जाता है, इसे प्रकटीकरण की आवश्यकता है, आप उस डेटा को खो देने के सभी नकारात्मक प्रभाव पड़ने वाले हैं, बस उस भौतिक मीडिया के नुकसान के कारण।
और दूसरी दिलचस्प बात यह है कि बहुत से लोग क्रेडिट डेटा, और क्रेडिट कार्ड की जानकारी को सबसे अधिक मूल्यवान मानते हैं, लेकिन वास्तव में अब ऐसा नहीं है। यह डेटा मूल्यवान है, क्रेडिट कार्ड नंबर उपयोगी हैं, लेकिन ईमानदारी से, उन संख्याओं को बहुत जल्दी बदल दिया जाता है, जबकि लोगों के व्यक्तिगत डेटा को बहुत जल्दी नहीं बदला जाता है। कुछ ऐसा है कि हाल ही में समाचार आइटम, अपेक्षाकृत हाल ही में, VTech, एक खिलौना निर्माता के पास ये खिलौने थे जो बच्चों के लिए डिज़ाइन किए गए थे। और लोग चाहेंगे, उनके बच्चों के नाम होंगे, उन्हें जानकारी होगी कि बच्चे कहाँ रहते हैं, उनके माता-पिता के नाम थे, उनके पास बच्चों की तस्वीरें थीं। इसमें से कोई भी एन्क्रिप्ट नहीं किया गया था, क्योंकि इसे महत्वपूर्ण नहीं माना गया था। लेकिन उनके पासवर्ड एन्क्रिप्ट किए गए थे। ठीक है, जब उल्लंघन अनिवार्य रूप से हुआ, तो आप कह रहे हैं, "ठीक है, इसलिए मेरे पास बच्चों के नाम, उनके माता-पिता के नाम, जहां वे रहते हैं, की एक सूची है - यह सब जानकारी वहां से बाहर है, और आप सोच रहे हैं कि पासवर्ड उस का सबसे मूल्यवान हिस्सा था? ”यह नहीं था; लोग अपने व्यक्तिगत डेटा, उनके पते, आदि के बारे में उन पहलुओं को नहीं बदल सकते हैं और इसलिए यह जानकारी वास्तव में बहुत मूल्यवान है और इसे संरक्षित करने की आवश्यकता है।
इसलिए, कुछ चीजों के बारे में बात करना चाहते हैं, जो इस तरह से योगदान करने के लिए हैं कि डेटा उल्लंघनों अभी हो रहा है। बड़े हॉटस्पॉट्स में से एक, स्पेस अभी सोशल इंजीनियरिंग है। इसलिए लोग इसे फ़िशिंग कहते हैं, वहाँ प्रतिरूपण आदि होते हैं, जहाँ लोगों को डेटा तक पहुँच प्राप्त हो रही है, अक्सर आंतरिक अभिनेताओं के माध्यम से, बस उन्हें यह समझाकर कि वे इसे एक्सेस करना चाहते हैं। इसलिए, दूसरे दिन, हमारे पास यह Google डॉक्स कीड़ा था जो चारों ओर जा रहा था। और यह क्या होगा - और मुझे वास्तव में इसकी एक प्रति प्राप्त हुई, हालांकि सौभाग्य से मैंने इस पर क्लिक नहीं किया - आप एक सहयोगी से ईमेल प्राप्त कर रहे थे, कह रहे थे, "यहाँ एक Google डॉक्टर लिंक है; आपको यह देखने के लिए इस पर क्लिक करने की आवश्यकता है कि मैंने अभी आपके साथ क्या साझा किया है। ”ठीक है, कि एक संगठन में जो Google डॉक्स का उपयोग करता है, वह बहुत ही पारंपरिक है, आप एक दिन में उन दर्जनों अनुरोध प्राप्त करने जा रहे हैं। यदि आप इस पर क्लिक करते हैं, तो यह आपसे इस दस्तावेज़ को एक्सेस करने की अनुमति मांगेगा, और शायद आप कहेंगे, "अरे, यह थोड़ा अजीब लग रहा है, लेकिन आप जानते हैं, यह वैध भी दिखता है, इसलिए मैं आगे जाऊंगा और उस पर क्लिक करें, “और जैसे ही आपने ऐसा किया, आप अपने सभी Google दस्तावेज़ों को इस तीसरे पक्ष की पहुँच प्रदान कर रहे थे, और इसलिए, इस बाहरी अभिनेता के लिए इस लिंक को बनाने से Google ड्राइव पर आपके सभी दस्तावेज़ों तक पहुँच बनी रहे। इससे सारी जगह बिगड़ गई। इसने कुछ ही घंटों में सैकड़ों लोगों को घायल कर दिया। और यह मूल रूप से एक फ़िशिंग हमला था जिसे Google ने स्वयं बंद करने के लिए समाप्त कर दिया था, क्योंकि यह बहुत अच्छी तरह से निष्पादित किया गया था। लोग इसके लिए गिर गए।
मैं यहाँ SnapChat HR ब्रीच का उल्लेख करता हूँ। यह किसी के ईमेल का सिर्फ एक साधारण मामला था, यह कहते हुए कि वे सीईओ थे, एचआर विभाग को ईमेल करते हुए, "मुझे आपको यह स्प्रेडशीट भेजने की आवश्यकता है।" और उन्होंने उन पर विश्वास किया, और उन्होंने 700 अलग-अलग कर्मचारियों के साथ एक स्प्रेडशीट लगाई। 'मुआवजे की जानकारी, उनके घर के पते आदि, ने इसे इस अन्य पार्टी को ईमेल किया, यह वास्तव में सीईओ नहीं था। अब, डेटा बाहर था, और उनके सभी कर्मचारियों की निजी, निजी जानकारी वहाँ से बाहर थी और शोषण के लिए उपलब्ध थी। इसलिए, सोशल इंजीनियरिंग एक ऐसी चीज है, जिसका मैं डेटाबेस की दुनिया में उल्लेख करता हूं, क्योंकि यह एक ऐसी चीज है, जिसे आप शिक्षा के माध्यम से बचाने की कोशिश कर सकते हैं, लेकिन आपको यह भी याद रखना होगा कि कहीं भी आपके पास एक व्यक्ति है जो आपकी तकनीक के साथ बातचीत कर रहा है, और यदि आप आउटेज को रोकने के लिए उनके अच्छे फैसले पर भरोसा कर रहे हैं, तो आप उनसे बहुत कुछ पूछ रहे हैं।
लोग गलतियां करते हैं, लोग उन चीजों पर क्लिक करते हैं जो उनके पास नहीं होनी चाहिए, लोग चतुर रस के लिए गिर जाते हैं। और आप इसके खिलाफ उन्हें बचाने के लिए बहुत कोशिश कर सकते हैं, लेकिन यह बहुत मजबूत नहीं है, आपको अपने डेटाबेस सिस्टम में गलती से लोगों को यह जानकारी देने की क्षमता को सीमित करने की कोशिश करने की आवश्यकता है। दूसरी बात जिसका मैं उल्लेख करना चाहता था कि जाहिर है कि हम बहुत अधिक रैनसमवेयर, बॉटनेट्स, वायरस - इन सभी अलग-अलग स्वचालित तरीकों से बात कर रहे हैं। और इसलिए मुझे लगता है कि रैंसमवेयर के बारे में समझना महत्वपूर्ण है क्या यह वास्तव में हमलावरों के लिए लाभ मॉडल को बदलता है। इस मामले में कि आप एक उल्लंघन के बारे में बात कर रहे हैं, उन्हें कुछ अर्थों में, डेटा निकालना है और इसे अपने लिए है और इसका उपयोग करना है। और यदि आपका डेटा अस्पष्ट है, अगर यह एन्क्रिप्ट किया गया है, यदि यह उद्योग विशिष्ट है, तो शायद उनके पास इसके लिए कोई मूल्य नहीं है।
इस बिंदु तक, लोगों को ऐसा लग सकता है कि उनके लिए एक सुरक्षा थी, "मुझे अपने आप को डेटा ब्रीच से बचाने की आवश्यकता नहीं है, क्योंकि यदि वे मेरे सिस्टम में आने जा रहे हैं, तो वे सभी होने वाले हैं है, मैं एक फोटोग्राफी स्टूडियो हूं, मेरे पास अगले साल के लिए कौन से दिन आने वाले हैं, इसकी एक सूची है। कौन परवाह करता है? ”ठीक है, यह पता चला है कि आप इस बारे में परवाह है; आप उस जानकारी को संग्रहीत कर रहे हैं, यह आपकी व्यवसाय-महत्वपूर्ण जानकारी है। इसलिए, रैंसमवेयर का उपयोग करते हुए एक हमलावर कहेगा, "ठीक है, कोई और मुझे इसके लिए पैसा नहीं देगा, लेकिन आप करेंगे।" तो, वे इस तथ्य का लाभ उठाते हैं कि उन्हें डेटा बाहर निकालने की ज़रूरत नहीं है, वे डॉन ' टी भी एक ब्रीच है, वे सिर्फ आप के खिलाफ आक्रामक तरीके से सुरक्षा उपकरण का उपयोग करने की जरूरत है। वे आपके डेटाबेस में आते हैं, वे इसकी सामग्री को एन्क्रिप्ट करते हैं, और फिर वे कहते हैं, "ठीक है, हमारे पास पासवर्ड है, और आपको उस पासवर्ड को प्राप्त करने के लिए हमें $ 5, 000 का भुगतान करना होगा, अन्यथा आपके पास बस नहीं है यह डेटा अब और नहीं। ”
और लोग भुगतान करते हैं; वे खुद को ऐसा करते हुए पाते हैं। MongoDB को कुछ महीने पहले एक बड़ी समस्या थी, मुझे लगता है कि यह जनवरी में था, जहाँ रैंसमवेयर हिट हुआ, मुझे लगता है, दस लाख से अधिक MongoDB डेटाबेस वे कुछ डिफ़ॉल्ट सेटिंग्स के आधार पर इंटरनेट पर सार्वजनिक रूप से रखते हैं। और इससे भी बदतर यह है कि लोग भुगतान कर रहे थे और इसलिए अन्य संगठन अंदर आएंगे और फिर से एन्क्रिप्ट करेंगे या दावा करेंगे कि मूल रूप से इसे एन्क्रिप्ट किया गया था, इसलिए जब आपने अपने पैसे का भुगतान किया था, और मुझे लगता है कि इस मामले में वे थे $ 500 जैसी किसी चीज़ के लिए पूछने पर, लोग कहेंगे, "ठीक है, मैं इससे अधिक भुगतान करूंगा कि एक शोधकर्ता को भुगतान करने के लिए यहां आने में मदद करें ताकि मुझे पता चले कि क्या गलत हुआ। मैं सिर्फ $ 500 का भुगतान करूंगा। "और वे इसे सही अभिनेता को भी नहीं दे रहे थे, इसलिए वे दस अलग-अलग संगठनों के साथ मिल कर उन्हें बता रहे थे, " हमें पासवर्ड मिल गया है, "या" हमने आपके लिए अपने फिरौती के डेटा को अनलॉक करने का रास्ता मिल गया है। ”और संभवत: यह काम करने के लिए आपको उन सभी को भुगतान करना होगा।
ऐसे मामले भी सामने आए हैं जहाँ रैंसमवेयर लेखकों में बग थे, मेरा मतलब है, हम इस बारे में बात नहीं कर रहे हैं कि यह पूरी तरह से ऊपर-बोर्ड की स्थिति है, इसलिए एक बार हमला करने के बाद, एक बार भुगतान करने के बाद भी, इसकी कोई गारंटी नहीं है कि आप हैं अपने सभी डेटा को वापस पाने के लिए, इनमें से कुछ को जटिल किया जा रहा है और साथ ही हथियारबंद इंफोसेक उपकरणों द्वारा भी। इसलिए शैडो ब्रोकर्स एक ऐसा समूह है जो एनएसए से उपकरण लीक कर रहा है। वे सरकारी संस्था द्वारा जासूसी के उद्देश्यों के लिए डिज़ाइन किए गए उपकरण थे और वास्तव में अन्य सरकारी संस्थाओं के खिलाफ काम कर रहे थे। इनमें से कुछ वास्तव में उच्च प्रोफ़ाइल शून्य-दिन के हमले हैं, जो मूल रूप से ज्ञात सुरक्षा प्रोटोकॉल को एक तरफ कर देते हैं। और इसलिए SMB प्रोटोकॉल में एक प्रमुख भेद्यता थी, उदाहरण के लिए, हाल ही के शैडो ब्रोकरों में से एक में।
और इसलिए ये उपकरण जो यहां आते हैं, एक-दो घंटे में, आपके हमले की सतह के संदर्भ में, वास्तव में आप पर गेम को बदल सकते हैं। इसलिए जब भी मैं इस बारे में सोच रहा हूं, यह कुछ ऐसा है कि संगठनात्मक स्तर पर, सुरक्षा InfoSec का अपना कार्य है, इसे गंभीरता से लेने की आवश्यकता है। जब भी हम डेटाबेस के बारे में बात कर रहे हैं, मैं इसे थोड़ा नीचे ले जा सकता हूं, आपको जरूरी नहीं है कि डेटाबेस प्रशासक के रूप में आपके पास इस सप्ताह शैडो ब्रोकर्स के साथ क्या हो रहा है, इसकी पूरी समझ होनी चाहिए, लेकिन आपको यह जानने की जरूरत है कि सभी इनमें से बदलाव हो रहे हैं, कुछ चीजें चल रही हैं, और इसलिए जिस हद तक आप अपने खुद के डोमेन को चुस्त और सुरक्षित रखते हैं, यह वास्तव में इस मामले में आपकी मदद करने वाला है कि किस तरह की चीजें आपके नीचे से निकल गई हैं।
इसलिए, मैं विशेष रूप से SQL सर्वर के बारे में बात करने से पहले, यहाँ एक क्षण लेना चाहता था, वास्तव में डेटाबेस सुरक्षा के साथ कुछ विचारों पर हमारे पैनलिस्टों के साथ खुली चर्चा का एक सा है। इसलिए, मैं इस बिंदु पर पहुंच गया हूं, कुछ चीजें जिनका हमने उल्लेख नहीं किया है, मैं एक वेक्टर के रूप में एसक्यूएल इंजेक्शन के बारे में बात करना चाहता था। तो, यह एसक्यूएल इंजेक्शन है, जाहिर है यह तरीका है जिसमें लोग एक डेटाबेस सिस्टम में कमांड डालते हैं, इनपुट के विकृत होने से।
एरिक कवनघ: हाँ, मैं वास्तव में एक आदमी से मिला - मुझे लगता है कि यह एंड्रयूज एयर फोर्स बेस में था - लगभग पांच साल पहले, एक सलाहकार जो मैं दालान में उससे बात कर रहा था और हम सिर्फ युद्ध की कहानियों को साझा करने के लिए थे - कोई सज़ा नहीं थी - और उन्होंने उल्लेख किया कि वह किसी के द्वारा सेना के एक उच्च श्रेणी के सदस्य के साथ परामर्श करने के लिए लाया गया था और उस आदमी ने उससे पूछा, "ठीक है, हम कैसे जानते हैं कि आप जो करते हैं उसमें आप अच्छे हैं?" और यह । और जैसा कि वह उनसे बात कर रहा था, वह अपने कंप्यूटर पर इस्तेमाल करता था, वह नेटवर्क में मिल जाता था, उसने उस आधार और उन लोगों के लिए ईमेल रजिस्ट्री में पाने के लिए SQL इंजेक्शन का इस्तेमाल किया। और उसे उस व्यक्ति का ईमेल मिला जिससे वह बात कर रहा था और उसने उसे अपनी मशीन पर अपना ईमेल दिखाया! और आदमी ऐसा था, "तुमने ऐसा कैसे किया?" उन्होंने कहा, "ठीक है, मैंने एसक्यूएल इंजेक्शन का इस्तेमाल किया।"
तो, यह सिर्फ पांच साल पहले है, और यह वायु सेना के आधार पर था, है ना? तो, मेरा मतलब है, संदर्भ के संदर्भ में, यह बात अभी भी बहुत वास्तविक है और इसका उपयोग वास्तव में भयानक प्रभावों के साथ किया जा सकता है। मेरा मतलब है, मैं किसी भी युद्ध की कहानियों के बारे में जानने के लिए उत्सुक हूं जो रॉबिन के विषय पर है, लेकिन ये सभी तकनीक अभी भी मान्य हैं। वे अभी भी कई मामलों में उपयोग किए जाते हैं, और यह खुद को शिक्षित करने का सवाल है, है ना?
रॉबिन ब्लर: ठीक है, हाँ। हाँ, यह काम करके SQL इंजेक्शन से बचाव संभव है। यह समझना आसान है कि क्यों जब विचार का आविष्कार किया गया था और पहले प्रोलिफ़ेरेट किया गया था, तो यह समझना आसान है कि यह क्यों इतना सफल था, क्योंकि आप इसे एक वेब पेज पर इनपुट फ़ील्ड में चिपका सकते हैं और इसे आपके लिए डेटा वापस कर सकते हैं, या प्राप्त कर सकते हैं। डेटाबेस में डेटा या कुछ भी हटाने के लिए - आप ऐसा करने के लिए बस SQL कोड इंजेक्ट कर सकते हैं। लेकिन यह वह चीज है जो मुझे दिलचस्पी लेती है, वह यह है कि यह आप जानते हैं, आपको थोड़ा सा पार्सिंग करना होगा, जो दर्ज किए गए डेटा के हर टुकड़े पर होगा, लेकिन यह संभव है कि किसी के ऐसा करने का प्रयास करना। और यह वास्तव में है, मुझे लगता है कि यह वास्तव में है, 'क्योंकि लोग अभी भी इसके साथ दूर हो गए हैं, मेरा मतलब है कि यह वास्तव में अजीब है कि इसका मुकाबला करने का एक आसान तरीका नहीं है। तुम्हें पता है, कि हर कोई आसानी से उपयोग कर सकता है, मेरा मतलब है, जहाँ तक मुझे पता है, विक्की नहीं है, वहाँ है?
विक्की हार्प: ठीक है, वास्तव में कुछ बंधक समाधान, एसक्यूएल एज़्योर की तरह, मुझे लगता है कि कुछ अच्छे अच्छे तरीके हैं जो मशीन सीखने पर आधारित हैं। शायद यही है कि हम भविष्य में जो देखने जा रहे हैं, वह ऐसा है जो एक आकार के साथ आने की कोशिश कर रहा है। मुझे लगता है कि इसका उत्तर यह है कि एक आकार सभी में फिट नहीं होता है, लेकिन हमारे पास ऐसी मशीनें हैं जो सीख सकती हैं कि आपका आकार क्या है और सुनिश्चित करें कि आप इसे सही कर रहे हैं? और इसलिए कि यदि आपके पास एक झूठी सकारात्मक है, तो यह इसलिए है क्योंकि आप वास्तव में कुछ असामान्य कर रहे हैं, ऐसा इसलिए नहीं है क्योंकि आपको गुजरना पड़ा है और श्रमसाध्य रूप से हर उस चीज की पहचान करनी है जो आपका एप्लिकेशन कभी भी कर सकता है।
मुझे लगता है कि एक कारण यह है कि यह वास्तव में अभी भी इतना विपुल है कि लोग अभी भी तीसरे पक्ष के अनुप्रयोगों और ISVs के अनुप्रयोगों पर भरोसा करते हैं और उन पर समय के साथ काम किया जाता है। तो, आप एक संगठन के बारे में बात करते हैं जिसने एक इंजीनियरिंग एप्लिकेशन खरीदा है जो 2001 में लिखा गया था। और उन्होंने इसे अपडेट नहीं किया है, क्योंकि तब से कोई बड़ा कार्यात्मक परिवर्तन नहीं हुआ है, और इसका मूल लेखक एक तरह का था, वे एक इंजीनियर नहीं थे, वे डेटाबेस सुरक्षा विशेषज्ञ नहीं थे, उन्होंने आवेदन में चीजों को सही तरीके से नहीं किया और वे एक वेक्टर होने का हवा देते हैं। मेरी समझ यह है कि - मुझे लगता है कि यह टारगेट डेटा ब्रीच था, वास्तव में बहुत बड़ा - हमला वेक्टर उनके एयर कंडीशनिंग आपूर्तिकर्ताओं में से एक के माध्यम से था, है ना? तो, उन तीसरे पक्ष के साथ समस्या, आप कर सकते हैं, यदि आप अपनी खुद की विकास की दुकान के मालिक हैं, तो आप इन नियमों में से कुछ को लागू कर सकते हैं, जब भी यह उदारतापूर्वक। एक संगठन के रूप में आपके पास सभी अलग-अलग प्रोफाइलों के साथ सैकड़ों या हजारों एप्लिकेशन चल सकते हैं। मुझे लगता है कि जहाँ मशीन लर्निंग साथ आने वाली है और हमारी बहुत मदद करने लगी है।
मेरी युद्ध कहानी शैक्षिक जीवन थी। मुझे एक SQL इंजेक्शन हमला देखने को मिला, और जो कुछ मेरे साथ कभी नहीं हुआ वह यह है कि सादे पठनीय एसक्यूएल का उपयोग करें। मैं इन चीजों को obfuscated P SQL छुट्टी कार्ड कहता हूं; मुझे ऐसा करना पसंद है, आप इस एसक्यूएल को यथासंभव भ्रमित करते हैं। अब तक दशकों से चली आ रही C ++ कोड प्रतियोगिता में बाधा है, और यह उसी तरह का विचार है। तो, आपको जो वास्तव में मिला था वह SQL इंजेक्शन था जो एक खुले स्ट्रिंग क्षेत्र में था, इसने स्ट्रिंग को बंद कर दिया, इसे सेमीकोलन में डाल दिया, और फिर इसे निष्पादित कमांड में डाल दिया, जिसमें संख्याओं की एक श्रृंखला थी और फिर यह मूल रूप से उपयोग कर रहा था कास्टिंग उन नंबरों को बाइनरी में डालना और फिर उन्हें कास्टिंग करना, बदले में, चरित्र मूल्यों में और फिर उस पर अमल करना। इसलिए, ऐसा नहीं है कि आपको ऐसा कुछ देखने को मिला है, जिसमें कहा गया है, "उत्पादन तालिका से स्टार्टअप हटाएं", यह वास्तव में संख्यात्मक क्षेत्रों में भर गया था जिसने इसे देखना बहुत कठिन बना दिया था। और यहां तक कि एक बार जब आप इसे देख लेते हैं, तो यह पहचानने के लिए कि क्या हो रहा था, इसने कुछ वास्तविक एसक्यूएल शॉट्स लिए, यह पता लगाने में सक्षम होने के लिए कि क्या हो रहा था, जिस समय तक काम पहले ही हो चुका था।
रॉबिन ब्लोर: और एक चीज़ जो पूरी दुनिया में हैकिंग की दुनिया में सिर्फ एक घटना है वह यह है कि अगर किसी को कमज़ोरी महसूस होती है और ऐसा होता है कि यह एक सॉफ्टवेयर के टुकड़े में होता है जो आम तौर पर बेचा जाता है, तो आप जानते हैं, शुरुआती समस्याओं में से एक है डेटाबेस पासवर्ड जो आपको दिया गया था जब एक डेटाबेस स्थापित किया गया था, वास्तविक तथ्य में बहुत सारे डेटाबेस सिर्फ एक डिफ़ॉल्ट थे। और बहुत सारे डीबीए ने इसे कभी नहीं बदला, और इसलिए आप तब नेटवर्क में आने का प्रबंधन कर सकते थे; आप बस उस पासवर्ड को आज़मा सकते हैं और अगर यह काम किया है, तो ठीक है, आपने सिर्फ लॉटरी जीती। और दिलचस्प बात यह है कि डार्कनेट वेबसाइटों पर हैकिंग समुदायों के बीच वह सभी जानकारी बहुत कुशलता से और प्रभावी ढंग से प्रसारित की जाती है। और उन्हें पता है। इसलिए, वे बहुत कुछ कर सकते हैं कि वहां क्या है, कुछ उदाहरणों को खोजें और बस स्वचालित रूप से उस पर कुछ हैकिंग शोषण फेंक दें, और वे अंदर हैं और मुझे लगता है, कि बहुत सारे लोग जो कम से कम हैं। इस सब की परिधि वास्तव में यह नहीं समझती है कि हैकिंग नेटवर्क कितनी तेजी से भेद्यता पर प्रतिक्रिया करता है।
विक्की हार्प: हाँ, यह वास्तव में एक और बात सामने लाता है जिसका मैं आगे बढ़ने से पहले उल्लेख करना चाहता था, जो कि क्रेडेंशियल स्टफिंग की यह धारणा है, जो कि कुछ ऐसा है जो बहुत अधिक पॉप अप कर रहा है, जो यह है कि एक बार आपकी क्रेडेंशियल्स किसी के साथ कहीं भी चोरी हो गई हैं। किसी भी साइट पर, उन क्रेडेंशियल्स को बोर्ड भर में पुन: उपयोग करने का प्रयास किया जाएगा। इसलिए, यदि आप डुप्लिकेट पासवर्ड का उपयोग कर रहे हैं, तो कहें, यदि आपके उपयोगकर्ता हैं, तो भी, चलो इसे इस तरह से रखते हैं, कोई व्यक्ति क्रेडेंशियल्स के पूरी तरह से मान्य सेट प्रतीत होता है के माध्यम से पहुंच प्राप्त करने में सक्षम हो सकता है। तो, मान लीजिए कि मैंने अपना एक ही पासवर्ड Amazon और अपने बैंक में और एक फ़ोरम में भी इस्तेमाल किया है और फ़ोरम सॉफ़्टवेयर हैक किया गया है, ठीक है, उनके पास मेरा उपयोगकर्ता नाम और मेरा पासवर्ड है। और फिर वे अमेज़न पर उसी उपयोगकर्ता नाम का उपयोग कर सकते हैं, या वे बैंक में इसका उपयोग कर सकते हैं। और जहां तक बैंक का सवाल है, यह पूरी तरह से वैध लॉगिन था। अब, आप पूरी तरह से अधिकृत पहुंच के माध्यम से नापाक कार्रवाई कर सकते हैं।
इसलिए, मैं आंतरिक उल्लंघनों और आंतरिक उपयोगों के बारे में जो कुछ कह रहा था, उस पर फिर से जाता हूं। यदि आपको अपने संगठन में ऐसे लोग मिले हैं जो आंतरिक पहुंच के लिए अपने उसी पासवर्ड का उपयोग कर रहे हैं जो वे बाहरी पहुंच के लिए करते हैं, तो आपको यह संभावना है कि किसी व्यक्ति के अंदर आने और किसी अन्य साइट पर ब्रीच के माध्यम से आपका उपयोग करने की संभावना है जो आप नहीं करते हैं 'के बारे में भी पता नहीं है। और यह डेटा बहुत तेज़ी से प्रसारित होता है। ट्रॉय हंट के अनुसार, मुझे लगता है कि सबसे हालिया भार "मुझे दिया गया है", उन्होंने कहा कि उनके पास साढ़े तीन अरब साख हैं, जो है - यदि आप ग्रह पर लोगों की संख्या पर विचार करते हैं - तो यह एक है वास्तव में बड़ी संख्या में क्रेडेंशियल जो क्रेडेंशियल स्टफिंग के लिए उपलब्ध कराए गए हैं।
इसलिए, मैं थोड़ा गहराई से कदम बढ़ाता हूं और SQL सर्वर सुरक्षा के बारे में बात करता हूं। अब मैं कहना चाहता हूं कि मैं आपको अगले 20 मिनट में अपने SQL सर्वर को सुरक्षित करने के लिए जो कुछ भी जानने की आवश्यकता है वह आपको देने की कोशिश नहीं करने जा रहा हूं; यह एक लंबा क्रम है। तो, यहां तक कि शुरू करने के लिए, मैं यह कहना चाहता हूं कि ऑनलाइन और संसाधन ऑनलाइन समूह हैं जो आप निश्चित रूप से Google कर सकते हैं, किताबें हैं, Microsoft पर सर्वोत्तम अभ्यास दस्तावेज़ हैं, SQL सर्वर पर पेशेवर सहयोगियों के लिए एक सुरक्षा आभासी अध्याय है, वे Security.pass.org पर हैं और उनके पास है, मेरा मानना है कि मासिक वेबकास्ट और वेबकास्ट की रिकॉर्डिंग, वास्तविक और अधिक गहराई से एसक्यूएल सर्वर सिक्योरिटी कैसे करें, इस पर जाने के लिए। लेकिन ये कुछ चीजें हैं जो मुझे, आपको डेटा पेशेवरों के रूप में, आईटी पेशेवरों के रूप में, डीबीए के रूप में बोलते हुए, मैं चाहता हूं कि आप जानना चाहते हैं कि आपको SQL सर्वर सुरक्षा के बारे में जानना चाहिए।
तो पहला है शारीरिक सुरक्षा। इसलिए, जैसा कि मैंने पहले कहा था, भौतिक मीडिया की चोरी करना अभी भी बेहद आम है। और इसलिए जो परिदृश्य मैंने देव मशीन के साथ दिया, देव मशीन पर आपके डेटाबेस की एक प्रति के साथ जो चोरी हो जाता है - यह एक अत्यंत सामान्य वेक्टर है, यह एक वेक्टर है जिसके बारे में आपको जागरूक होने और कार्रवाई करने की कोशिश करने की आवश्यकता है। यह बैकअप सुरक्षा के लिए भी सही है, इसलिए जब भी आप अपने डेटा का बैकअप ले रहे होते हैं, तो आपको इसे एन्क्रिप्टेड करने की आवश्यकता होती है, आपको एक सुरक्षित स्थान पर बैकअप की आवश्यकता होती है। बहुत बार यह डेटा जो वास्तव में डेटाबेस में संरक्षित था, जैसे ही यह परिधि स्थानों में बाहर निकलना शुरू होता है, देव मशीनों पर, परीक्षण मशीनों पर, हम पैचिंग के बारे में थोड़ा कम सावधान हो जाते हैं, हमें थोड़ा कम मिलता है उन लोगों के बारे में सावधान रहना चाहिए, जिनके पास इसकी पहुंच है। अगली बात जो आप जानते हैं, आपको बहुत सारे अलग-अलग लोगों से शोषण के लिए उपलब्ध आपके संगठन में एक सार्वजनिक शेयर पर संग्रहीत अनएन्क्रिप्टेड डेटाबेस बैकअप मिला है। इसलिए, भौतिक सुरक्षा के बारे में सोचें और जैसे ही सरल हो, क्या कोई ऊपर चल सकता है और बस आपके सर्वर में एक यूएसबी कुंजी डाल सकता है? आपको इसकी अनुमति नहीं देनी चाहिए।
अगला आइटम मैं आपके बारे में सोचना चाहता हूं कि प्लेटफ़ॉर्म सुरक्षा है, इसलिए अप-टू-डेट ओएस, अप-टू-डेट पैच। लोगों को विंडोज के पुराने संस्करणों, SQL सर्वर के पुराने संस्करणों पर रहने के बारे में बात करते हुए सुनना बहुत थकाऊ है, यह सोचते हुए कि केवल नाटक में लागत लाइसेंसिंग उन्नयन की लागत है, जो कि मामला नहीं है। हम सुरक्षा के साथ हैं, यह एक धारा है जो पहाड़ी से नीचे जाती रहती है और जैसे-जैसे समय बीतता है, और अधिक कारनामे देखने को मिलते हैं। Microsoft इस मामले में, और अन्य समूह जैसा भी मामला हो, वे पुराने सिस्टम को एक बिंदु पर अपडेट करेंगे, और अंततः वे समर्थन से बाहर हो जाएंगे और वे उन्हें अब अपडेट नहीं करेंगे, क्योंकि यह सिर्फ एक कभी न खत्म होने वाली प्रक्रिया है रखरखाव।
और इसलिए, आपको एक समर्थित ओएस पर होने की आवश्यकता है और आपको अपने पैच पर अद्यतित होने की आवश्यकता है, और हमने हाल ही में शैडो ब्रोकर्स के साथ पसंद किया है, कुछ मामलों में Microsoft को उनके पहले आने वाले प्रमुख सुरक्षा उल्लंघनों की जानकारी हो सकती है। प्रकटीकरण से पहले सार्वजनिक किया जा रहा है, इसलिए अपने आप को आदेश से बाहर मुड़ने न दें। मैं बल्कि डाउनटाइम नहीं लेना चाहूंगा, मैं इंतजार करूंगा और उनमें से हर एक को पढ़ूंगा और फैसला करूंगा। आपको पता नहीं चल सकता है कि यह पैच होने के कुछ हफ्तों बाद तक इसकी कीमत क्या है क्योंकि यह पता लगाने के लिए कि यह पैच क्यों हुआ। इसलिए, उसके ऊपर बने रहें।
आपके पास अपना फ़ायरवॉल कॉन्फ़िगर होना चाहिए। यह SNB उल्लंघन में चौंकाने वाला था कि कितने लोग SQL सर्वर के पुराने संस्करणों को फ़ायरवॉल के साथ पूरी तरह से इंटरनेट पर खोल रहे थे, इसलिए कोई भी अपने सर्वर के साथ जो चाहे कर सकता था। आपको एक फ़ायरवॉल का उपयोग करना चाहिए। तथ्य यह है कि आपको कभी-कभी नियमों को कॉन्फ़िगर करना पड़ता है या जिस तरह से आप अपना व्यवसाय कर रहे हैं उसके लिए विशिष्ट अपवाद बनाने के लिए भुगतान करने के लिए एक ठीक मूल्य है। आपको अपने डेटाबेस सिस्टम में सतह क्षेत्र को नियंत्रित करने की आवश्यकता है - क्या आप उसी मशीन पर IIS जैसी सेवाओं या वेब सर्वरों को स्थापित कर रहे हैं? एक ही डिस्क स्थान साझा करना, अपने डेटाबेस और अपने निजी डेटा के समान मेमोरी स्पेस साझा करना? ऐसा न करने की कोशिश करें, इसे अलग करने की कोशिश करें, सतह क्षेत्र को छोटा रखें, ताकि आपको यह सुनिश्चित करने के लिए इतना परेशान न होना पड़े कि डेटाबेस के शीर्ष पर सभी सुरक्षित हैं। आप उन लोगों को शारीरिक रूप से अलग कर सकते हैं, प्लेटफ़ॉर्म कर सकते हैं, उन्हें अलग कर सकते हैं, खुद को थोड़ा सांस लेने का कमरा दे सकते हैं।
आपको अपने सभी डेटा तक पहुंच पाने में सक्षम होने के लिए हर जगह सुपर एडिंस नहीं होने चाहिए। OS व्यवस्थापक खातों को आवश्यक रूप से एन्क्रिप्शन के माध्यम से डेटाबेस में अंतर्निहित डेटा, या डेटाबेस में अंतर्निहित डेटा तक पहुंचने की आवश्यकता नहीं हो सकती है, जिसके बारे में हम एक मिनट में बात करेंगे। और डेटाबेस फ़ाइलों तक पहुंच, आपको इसे भी प्रतिबंधित करने की आवश्यकता है। यह मूर्खतापूर्ण है अगर आप कहते हैं, ठीक है, कोई डेटाबेस के माध्यम से इन डेटाबेस तक नहीं पहुंच सकता है; SQL सर्वर स्वयं उन्हें इसे एक्सेस करने की अनुमति नहीं देगा, लेकिन अगर वे चारों ओर जा सकते हैं, तो वास्तविक एमडीएफ फ़ाइल की एक प्रति ले सकते हैं, इसे बस इतना आगे बढ़ाएं, इसे अपने स्वयं के SQL सर्वर से संलग्न करें, आपने वास्तव में बहुत पूरा नहीं किया है बहुत।
एन्क्रिप्शन, इसलिए एन्क्रिप्शन वह प्रसिद्ध दो-तरफ़ा तलवार है। एन्क्रिप्शन के बहुत से विभिन्न स्तर हैं जो आप OS स्तर पर कर सकते हैं और SQL और Windows के लिए चीजों को करने का समकालीन तरीका BitLocker के साथ है और डेटाबेस स्तर पर इसे TDE या पारदर्शी डेटा एन्क्रिप्शन कहा जाता है। तो, ये दोनों तरह से आपके डेटा को आराम से एन्क्रिप्टेड रखने के तरीके हैं। यदि आप अपने डेटा को अधिक विस्तृत रूप से एन्क्रिप्ट करना चाहते हैं, तो आप एन्क्रिप्टेड कर सकते हैं - क्षमा करें, मैंने एक तरह से आगे कदम रखा है। आप एन्क्रिप्टेड कनेक्शन कर सकते हैं ताकि जब भी यह ट्रांज़िट में हो, यह अभी भी एन्क्रिप्ट किया गया है ताकि अगर कोई सुन रहा है, या किसी हमले के बीच में एक आदमी है, तो आपको तार पर उस डेटा का कुछ संरक्षण मिला है। आपके बैकअप को एन्क्रिप्ट करने की आवश्यकता है, जैसे मैंने कहा, वे दूसरों के लिए सुलभ हो सकते हैं और फिर, यदि आप चाहते हैं कि इसे मेमोरी में एन्क्रिप्ट किया जाए और उपयोग के दौरान, हमें कॉलम एन्क्रिप्शन मिल गया है और फिर, SQL 2016 की यह धारणा है "हमेशा एन्क्रिप्टेड "जहां यह वास्तव में डिस्क पर, मेमोरी में, तार पर एन्क्रिप्ट किया गया है, आवेदन के सभी तरीके जो वास्तव में डेटा का उपयोग कर रहे हैं।
अब, यह सब एन्क्रिप्शन मुफ्त नहीं है: वहाँ पर सीपीयू ओवरहेड है, वहाँ कभी-कभी कॉलम एन्क्रिप्शन और हमेशा-एन्क्रिप्टेड केस के लिए होता है, उस डेटा पर खोज करने की आपकी क्षमता के मामले में प्रदर्शन पर प्रभाव पड़ता है। हालांकि, यह एन्क्रिप्शन, अगर इसे ठीक से एक साथ रखा गया है, तो इसका मतलब है कि अगर किसी को आपके डेटा तक पहुंच प्राप्त करनी थी, तो नुकसान बहुत कम हो गया है, क्योंकि वे इसे प्राप्त करने में सक्षम थे और फिर वे इसके साथ कुछ भी करने में सक्षम नहीं हैं। हालाँकि, यह वह तरीका भी है जिसमें रैंसमवेयर काम करता है, वह यह है कि कोई व्यक्ति इन वस्तुओं को अपने प्रमाण पत्र या स्वयं के पासवर्ड के साथ चालू करता है और आपके पास नहीं है। तो, इसीलिए यह सुनिश्चित करना ज़रूरी है कि आप ऐसा कर रहे हैं, और आपके पास इसकी पहुँच है, लेकिन आप इसे नहीं दे रहे हैं, दूसरों के लिए खुला है और ऐसा करने के लिए हमलावर हैं।
और फिर, सुरक्षा सिद्धांत - मैं इस बिंदु पर विश्वास नहीं करने जा रहा हूं, लेकिन सुनिश्चित करें कि आपके पास SQL सर्वर में चल रहे प्रत्येक उपयोगकर्ता को सुपर व्यवस्थापक के रूप में नहीं है। आपके डेवलपर इसे चाहते हैं, विभिन्न उपयोगकर्ता यह चाहते हैं - वे अलग-अलग वस्तुओं के लिए उपयोग करने के लिए कहकर निराश हो सकते हैं - लेकिन आपको इसके बारे में मेहनती होने की आवश्यकता है, और भले ही यह अधिक जटिल हो, वस्तुओं तक पहुंच प्रदान करें और डेटाबेस और स्कीमा जो चल रहे काम के लिए मान्य हैं, और एक विशेष मामला है, शायद इसका मतलब है कि एक विशेष लॉगिन, इसका मतलब यह नहीं है कि औसत केस उपयोगकर्ता के लिए अधिकारों का उत्थान हो।
और फिर, विनियामक अनुपालन के विचार हैं, जो इस में dovetail हैं और कुछ मामले वास्तव में अपने तरीके से बंद हो सकते हैं - इसलिए HIPAA, SOX, PCI - इन सभी के अलग-अलग विचार हैं। और जब आप एक ऑडिट से गुजरते हैं, तो आपको यह दिखाने की उम्मीद की जाती है कि आप इसके अनुपालन के लिए कार्रवाई कर रहे हैं। और इसलिए, इस पर नज़र रखने के लिए बहुत कुछ है, मैं एक डीबीए टू-डू सूची के रूप में कहूंगा, आप सुरक्षा भौतिक एन्क्रिप्शन कॉन्फ़िगरेशन सुनिश्चित करने की कोशिश कर रहे हैं, आप यह सुनिश्चित करने की कोशिश कर रहे हैं कि उस डेटा तक पहुंच का ऑडिट किया जा रहा है आपके अनुपालन उद्देश्यों के लिए, यह सुनिश्चित करना कि आपके संवेदनशील कॉलम, कि आप जानते हैं कि वे क्या हैं, वे कहाँ हैं, किन लोगों को आप एन्क्रिप्ट करना और एक्सेस करना देखना चाहिए। और यह सुनिश्चित करना कि कॉन्फ़िगरेशन नियामक दिशानिर्देशों के साथ संरेखण में है जो आप के अधीन हैं। और आपको यह सब अप टू डेट रखना होगा क्योंकि चीजें बदल रही हैं।
इसलिए, यह करना बहुत है, और इसलिए अगर मैं इसे वहीं छोड़ दूं, तो मैं कहूंगा कि ऐसा करो। लेकिन उस के लिए बहुत सारे अलग-अलग उपकरण हैं, और इसलिए, यदि मैं पिछले कुछ मिनटों में हो सकता है, तो मैं आपको कुछ उपकरण दिखाना चाहता हूं जो हमारे लिए आईडीईआरए में हैं। और आज मैं जिन दो के बारे में बोलना चाहता था, वे हैं SQL सिक्योर और SQL कंप्लायंस मैनेजर। एसक्यूएल सिक्योर हमारे प्रकार की कॉन्फ़िगरेशन कमजोरियों की पहचान करने में मदद करने के लिए हमारा उपकरण है। आपकी सुरक्षा नीतियां, आपके उपयोगकर्ता की अनुमति, आपका सतह क्षेत्र कॉन्फ़िगरेशन। और इसमें विभिन्न नियामक ढांचों के अनुपालन में आपकी सहायता करने के लिए टेम्पलेट हैं। वह स्वयं, वह अंतिम पंक्ति, लोगों के लिए इस पर विचार करने का कारण हो सकता है। क्योंकि इन विभिन्न नियमों को पढ़ना और उन लोगों की पहचान करना, पीसीआई और फिर उस रास्ते को अपने एसक्यूएल सर्वर से नीचे ले जाना, जो बहुत काम का है। यह ऐसा कुछ है जिसे करने के लिए आप बहुत से परामर्श पैसे दे सकते हैं; हम गए और उस परामर्श को पूरा कर चुके हैं, हमने विभिन्न ऑडिटिंग कंपनियों, आदि के साथ काम किया है, जो कि उन टेम्पलेटों के साथ आते हैं - कुछ ऐसा जो ऑडिट पास करने की संभावना रखता है यदि ये जगह हैं। और फिर आप उन टेम्पलेट्स का उपयोग कर सकते हैं और उन्हें देख सकते हैं, अपने वातावरण में।
हमारे पास एसक्यूएल अनुपालन प्रबंधक के रूप में एक और प्रकार का बहन उपकरण भी है, और यह वह जगह है जहां एसक्यूएल सिक्योर कॉन्फ़िगरेशन सेटिंग्स के बारे में है। SQL अनुपालन प्रबंधक यह देखने के बारे में है कि किसके द्वारा, कब किया गया था। तो, यह ऑडिटिंग है, इसलिए यह आपको गतिविधि की निगरानी करने की अनुमति देता है क्योंकि यह घटित हो रहा है और आपको पता लगाने और ट्रैक करने देता है कि कौन चीजों तक पहुंच रहा है। क्या कोई ऐसा व्यक्ति था, जिसका आदर्श उदाहरण आपके अस्पताल में एक सेलिब्रिटी की जाँच है, क्या कोई जा रहा था और अपनी जानकारी देख रहा था, बस जिज्ञासा से बाहर? क्या उनके पास ऐसा करने का कोई कारण था? आप ऑडिट इतिहास पर एक नज़र डाल सकते हैं और देख सकते हैं कि क्या चल रहा था, जो उन रिकॉर्ड तक पहुंच रहा था। और आप यह पहचान सकते हैं कि आपके पास संवेदनशील स्तंभों को पहचानने में मदद करने के लिए उपकरण हैं, इसलिए आपको जरूरी नहीं है कि आप स्वयं को पढ़ें और ऐसा करें।
इसलिए, अगर मैं कर सकता हूं, तो मैं आगे जाऊंगा और आपको उन कुछ उपकरणों को इन अंतिम कुछ मिनटों में यहां दिखाऊंगा - और कृपया इसे एक गहन डेमो के रूप में नहीं मानें। मैं एक उत्पाद प्रबंधक हूं, न कि एक सेल्स इंजीनियर, इसलिए मैं आपको कुछ ऐसी चीजें दिखाने जा रहा हूं जो मुझे लगता है कि इस चर्चा के लिए प्रासंगिक हैं। तो, यह हमारा SQL Secure उत्पाद है। और जैसा कि आप यहाँ देख सकते हैं, मुझे इस तरह के उच्च स्तरीय रिपोर्ट कार्ड मिल गए हैं। मैंने इसे चलाया, मुझे लगता है, कल। और यह मुझे कुछ ऐसी चीजों को दिखाता है जो सही तरीके से सेट नहीं हैं और कुछ चीजें सही तरीके से सेट की गई हैं। इसलिए, आप देख सकते हैं कि हमने यहाँ जो 100 से अधिक विभिन्न जाँचें की हैं। और मैं देख सकता हूं कि मैं जो बैकअप कर रहा हूं उस पर मेरा बैकअप एन्क्रिप्शन है, मैं बैकअप एन्क्रिप्शन का उपयोग नहीं कर रहा हूं। मेरा SA खाता, जिसे स्पष्ट रूप से "SA खाता" नाम दिया गया है, उसे निष्क्रिय या पुनर्नामित नहीं किया गया है। सार्वजनिक सर्वर भूमिका की अनुमति है, इसलिए ये सभी चीजें हैं जिन्हें मैं बदलना चाह सकता हूं।
मुझे यहां नीति सेट अप मिली है, इसलिए यदि मैं एक नई नीति स्थापित करना चाहता हूं, तो अपने सर्वर पर लागू करने के लिए, हमने इन सभी अंतर्निहित नीतियों को प्राप्त किया है। इसलिए, मैं एक मौजूदा नीति टेम्पलेट का उपयोग करूंगा और आप देख सकते हैं कि मेरे पास सीआईएस, एचआईपीएए, पीसीआई, एसआर और चल रहा है, और हम वास्तव में अतिरिक्त नीतियों को जोड़ने की प्रक्रिया में हैं, उन चीजों के आधार पर जो क्षेत्र में लोगों की जरूरत है। । और आप एक नई नीति भी बना सकते हैं, इसलिए यदि आप जानते हैं कि आपका ऑडिटर क्या देख रहा है, तो आप इसे स्वयं बना सकते हैं। और फिर, जब आप ऐसा करते हैं, तो आप इन सभी अलग-अलग सेटिंग्स में से एक चुन सकते हैं, जो आपको सेट करने की आवश्यकता है, कुछ मामलों में, आपके पास कुछ हैं - मुझे वापस जाने दें और पूर्व-निर्मित में से एक खोजें। यह सुविधाजनक है, मैं चुन सकता हूं, कह सकता हूं, HIPAA - मुझे पहले से ही HIPAA मिला है, मेरा खराब - PCI, और फिर, जैसा कि मैं यहां क्लिक कर रहा हूं, मैं वास्तव में बाहरी क्रॉस-रेफरेंस को अनुभाग के अनुभाग में देख सकता हूं: विनियमन जो इस से संबंधित है। ताकि बाद में आपको मदद मिले, जब आप यह जानने की कोशिश कर रहे हों कि मैं यह क्यों सेट कर रहा हूं? मैं इसे देखने की कोशिश क्यों कर रहा हूं? यह किस अनुभाग से संबंधित है?
यह भी एक अच्छा उपकरण है कि यह आपको अंदर जाने देता है और अपने उपयोगकर्ताओं को ब्राउज़ करने देता है, इसलिए आपकी उपयोगकर्ता भूमिकाओं की खोज करने के बारे में बहुत मुश्किल चीजें हैं, यह वास्तव में, मैं यहां एक नज़र लेने जा रहा हूं। इसलिए, यदि मैं अपने लिए अनुमति दिखाता हूं, तो आइए देखें, यहां एक उपयोगकर्ता चुनें। अनुमति दिखाएं। मैं इस सर्वर के लिए निर्दिष्ट अनुमतियाँ देख सकता हूं, लेकिन फिर मैं यहां क्लिक कर सकता हूं और प्रभावी अनुमतियों की गणना कर सकता हूं, और यह मुझे पूरी सूची के आधार पर देगा, इसलिए इस मामले में यह व्यवस्थापक है, इसलिए यह उतना रोमांचक नहीं है, लेकिन मैं अलग-अलग उपयोगकर्ताओं को चुन सकता था और देख सकता था कि उनकी प्रभावी अनुमति क्या है, उन सभी समूहों के आधार पर जो वे संबंधित हो सकते हैं। यदि आप कभी भी अपने दम पर ऐसा करने की कोशिश करते हैं, तो यह वास्तव में थोड़ी परेशानी हो सकती है, यह पता लगाने के लिए, ठीक है यह उपयोगकर्ता इन समूहों का सदस्य है और इसलिए समूहों के माध्यम से इन चीजों तक पहुंच है, आदि।
तो, जिस तरह से यह उत्पाद काम करता है, वह स्नैपशॉट लेता है, इसलिए यह वास्तव में नियमित रूप से सर्वर के स्नैपशॉट लेने की बहुत कठिन प्रक्रिया नहीं है और फिर यह उन स्नैपशॉट को समय के साथ रखता है ताकि आप परिवर्तनों के लिए तुलना कर सकें। तो, यह प्रदर्शन निगरानी उपकरण की तरह पारंपरिक अर्थों में एक सतत निगरानी नहीं है; यह कुछ ऐसा है जिसे आपने प्रति सप्ताह एक बार, प्रति सप्ताह एक बार चलाने के लिए सेट किया है - हालांकि अक्सर आप सोचते हैं कि यह मान्य है - ताकि तब, जब भी आप विश्लेषण कर रहे हों और आप कुछ अधिक कर रहे हों, आप वास्तव में बस हमारे उपकरण के भीतर काम कर रहा है। आप अपने सर्वर से वापस कनेक्ट नहीं कर रहे हैं, इसलिए इस तरह की स्थिर सेटिंग्स के अनुपालन में काम करने के लिए यह एक बहुत अच्छा उपकरण है।
अन्य उपकरण जो मैं आपको दिखाना चाहता हूं वह हमारा अनुपालन प्रबंधक उपकरण है। अनुपालन प्रबंधक अधिक निरंतर तरीके से निगरानी करने जा रहा है। और यह देखने वाला है कि आपके सर्वर पर कौन क्या कर रहा है और आपको इसे देखने की अनुमति देता है। इसलिए, मैंने पिछले कुछ घंटों में यहां क्या किया है, मैंने वास्तव में कुछ छोटी समस्याएं पैदा करने की कोशिश की है। इसलिए, यहां मैंने पाया है कि यह एक समस्या है या नहीं, मैं इसके बारे में जान सकता हूं, किसी ने वास्तव में एक लॉगिन बनाया है और इसे सर्वर भूमिका में जोड़ा है। इसलिए, अगर मैं अंदर जाऊं और उस पर एक नजर डालूं, तो मैं देख सकता हूं- मुझे लगता है कि मैं वहां क्लिक नहीं कर सकता, मैं देख सकता हूं कि क्या चल रहा है। तो, यह मेरा डैशबोर्ड है और मैं देख सकता हूं कि आज कुछ समय पहले मैंने कई असफल लॉगिन किए थे। मेरे पास सुरक्षा गतिविधि, डीबीएल गतिविधि का एक समूह था।
इसलिए, मुझे अपनी ऑडिट घटनाओं पर जाने दें और एक नज़र डालें। यहाँ मुझे मेरी ऑडिट ईवेंट्स को श्रेणी और लक्ष्य ऑब्जेक्ट द्वारा समूहीकृत किया गया है, इसलिए यदि मैं पहले से उस सुरक्षा पर एक नज़र डालता हूं, तो मैं डेमोएनयूज़र देख सकता हूं, यह सर्वर लॉगिन हुआ। और मैं देख सकता हूं कि लॉगिन एसए ने इस डेमोएनव्यूसर खाते को बनाया, यहां, दोपहर 2:42 बजे और फिर, मैं देख सकता हूं कि बदले में, सर्वर में लॉगिन जोड़ें, इस डेमोएनवेयर को सर्वर व्यवस्थापक समूह में जोड़ा गया था, उन्हें जोड़ा गया था सेटअप व्यवस्थापक समूह, उन्हें sysadmin समूह में जोड़ा गया था। तो, यह कुछ ऐसा है जो मैं जानना चाहता हूं कि क्या हुआ था। मैंने इसे स्थापित भी कर लिया है ताकि मेरी टेबलों में संवेदनशील कॉलम को ट्रैक किया जा सके, इसलिए मैं देख सकता हूं कि कौन इसे एक्सेस कर रहा है।
तो, यहाँ मुझे कुछ चुने हुए जोड़े मिले हैं जो मेरे व्यक्ति टेबल पर आए हैं, एडवेंचर वर्क्स से। और मैं एक नज़र डाल सकता हूं और देख सकता हूं कि एडवेंचर वर्क्स टेबल पर उपयोगकर्ता एसए ने व्यक्ति डॉट व्यक्ति से चुनिंदा शीर्ष दस सितारा किया। इसलिए शायद मेरे संगठन में मैं नहीं चाहता कि लोग व्यक्ति डॉट व्यक्ति से सितारों का चयन करें, या मैं केवल कुछ उपयोगकर्ताओं से ऐसा करने की उम्मीद कर रहा हूं, और इसलिए मैं इसे यहां देखने जा रहा हूं। तो, आपके ऑडिटिंग के संदर्भ में आपको क्या चाहिए - हम इसे फ्रेमवर्क के आधार पर सेट कर सकते हैं और यह एक गहन उपकरण का थोड़ा अधिक है। यह संस्करण के आधार पर SQL ट्रेस, या SQLX घटनाओं का उपयोग कर रहा है। और यह कुछ ऐसा है जिसे आप समायोजित करने के लिए अपने सर्वर पर कुछ हेडरूम रखने जा रहे हैं, लेकिन यह उन चीजों में से एक है, जैसे कि बीमा, जो कि अगर हम कार बीमा नहीं करवाते तो अच्छा है - यह एक होगा लागत जो हमें नहीं लेनी होगी - लेकिन अगर आपके पास एक सर्वर है जहाँ आपको यह करने की आवश्यकता है कि कौन क्या कर रहा है, तो आपको ट्रैक करने की आवश्यकता है, आपके पास ऐसा करने के लिए थोड़ा अतिरिक्त हेडरूम और ऐसा उपकरण होना चाहिए। आप हमारे उपकरण का उपयोग कर रहे हैं या आप इसे स्वयं रोल कर रहे हैं, आप अंततः नियामक अनुपालन उद्देश्यों के लिए इस जानकारी के लिए जिम्मेदार होने जा रहे हैं।
तो जैसे मैंने कहा, इन-डेप्थ डेमो नहीं, बस एक त्वरित, थोड़ा सारांश। मैं आपको इस एसक्यूएल कॉलम सर्च के रूप में एक त्वरित, थोड़ा मुक्त टूल भी दिखाना चाहता था, जो कुछ ऐसा है जिसका उपयोग करके आप पहचान सकते हैं कि आपके वातावरण में कौन से कॉलम संवेदनशील जानकारी के रूप में दिखाई देते हैं। इसलिए, हमारे पास कई खोज कॉन्फ़िगरेशन हैं जहां यह उन स्तंभों के अलग-अलग नामों की तलाश कर रहा है जो आमतौर पर संवेदनशील डेटा वाले हैं, और फिर मुझे उनकी यह पूरी सूची मिल गई है जिनकी पहचान की गई है। मुझे उनमें से 120 मिल गए हैं, और फिर मैंने उन्हें यहाँ निर्यात किया है, ताकि मैं कहने के लिए उनका उपयोग कर सकूँ, चलो देखते हैं और यह सुनिश्चित करते हैं कि मैं मध्य नाम, एक व्यक्ति डॉट व्यक्ति या बिक्री कर के लिए पहुँच पर नज़र रख रहा हूँ दर, आदि।
मुझे पता है कि हम यहां अपने समय के अंत में सही हो रहे हैं। और वह सब है जो मुझे वास्तव में आपको दिखाना था, इसलिए मेरे लिए कोई प्रश्न?
एरिक Kavanagh: मैं तुम्हारे लिए अच्छे लोगों की एक जोड़ी है। मुझे यहाँ ऊपर स्क्रॉल करें। उपस्थित लोगों में से एक बहुत अच्छा सवाल पूछ रहा था। जिनमें से एक प्रदर्शन कर के बारे में पूछ रहा है, इसलिए मुझे पता है कि यह समाधान से समाधान तक भिन्न होता है, लेकिन क्या आपको पता है कि IDERA सुरक्षा उपकरणों का उपयोग करने के लिए प्रदर्शन कर क्या है?
विक्की हार्प: तो, एसक्यूएल सिक्योर पर, जैसे मैंने कहा, यह बहुत कम है, यह सिर्फ कुछ सामयिक स्नैपशॉट लेने जा रहा है। और यहां तक कि अगर आप बहुत बार चल रहे हैं, तो यह सेटिंग्स के बारे में स्थिर जानकारी प्राप्त कर रहा है, और इसलिए यह बहुत कम है, लगभग नगण्य है। अनुपालन प्रबंधक के संदर्भ में, यह है-
एरिक कवनघ: एक प्रतिशत की तरह?
विक्की हार्प: अगर मुझे एक प्रतिशत नंबर देना होता है, तो हाँ, यह एक प्रतिशत या उससे कम होगा। यह SSMS का उपयोग करने और सुरक्षा टैब में जाने और चीजों का विस्तार करने के आदेश पर बुनियादी जानकारी है। अनुपालन पक्ष पर, यह बहुत अधिक है - इसलिए मैंने कहा है कि इसे थोड़ा हेडरूम की आवश्यकता है - यह इस तरह की तरह है कि आपके पास प्रदर्शन निगरानी के मामले में यह अच्छी तरह से परे है। अब, मैं लोगों को इससे दूर नहीं करना चाहता, अनुपालन निगरानी के साथ चाल, और अगर यह ऑडिटिंग है तो सुनिश्चित करें कि आप केवल ऑडिट कर रहे हैं कि आप क्या कार्रवाई करने जा रहे हैं। इसलिए, एक बार जब आप यह कहने के लिए फ़िल्टर करते हैं, "अरे, मैं जानना चाहता हूं कि लोग इन विशेष तालिकाओं का उपयोग कब करते हैं, और मैं जानना चाहता हूं कि जब भी लोग पहुंचते हैं, इन विशेष कार्यों को लेते हैं, " तो यह इन चीजों पर कितनी बार आधारित होगा क्या हो रहा है और आप कितना डेटा पैदा कर रहे हैं। यदि आप कहते हैं, "मैं चाहता हूं कि हर चयन का पूर्ण SQL पाठ जो कभी भी इन तालिकाओं में से किसी पर भी हो, " बस संभवत: गीगाबाइट और गीगाबाइट डेटा होने वाला है जो SQL सर्वर द्वारा संग्रहीत किए जाने वाले डेटा को हमारे उत्पाद में स्थानांतरित कर दिया गया है। आदि।
यदि आप इसे नीचे रखते हैं - यह भी आप के साथ सौदा कर सकते हैं की तुलना में अधिक जानकारी होने जा रहा है। यदि आप इसे एक छोटे से सेट पर ले जा सकते हैं, ताकि आप प्रति दिन कुछ सौ इवेंट कर रहे हैं, तो यह स्पष्ट रूप से बहुत कम है। तो, वास्तव में, कुछ मायनों में, आकाश की सीमा है। यदि आप सब कुछ के लिए सभी मॉनिटरिंग पर सभी सेटिंग्स को चालू करते हैं, तो हाँ, यह 50 प्रतिशत प्रदर्शन हिट होने वाला है। लेकिन अगर आप इसे अधिक उदार, माने जाने वाले स्तर की तरह चालू करने जा रहे हैं, तो मैं शायद 10 प्रतिशत नेत्रगोलक करूंगा। यह वास्तव में, यह उन चीजों में से एक है जो आपके काम के बोझ पर बहुत निर्भर करने वाली हैं।
एरिक कवनघ: हाँ, ठीक है। हार्डवेयर के बारे में एक और सवाल है। और फिर, वहाँ हार्डवेयर विक्रेताओं खेल में हो रही है और वास्तव में सॉफ्टवेयर विक्रेताओं के साथ सहयोग कर रहा है और मैं प्रश्नोत्तर खिड़की के माध्यम से जवाब दिया। मुझे पता है कि इंटेल के साथ काम करने वाले क्लोदेरा के एक विशेष मामले में, जहां इंटेल ने उन में बहुत बड़ा निवेश किया था, और कलन का एक हिस्सा यह था कि क्लॉडेरा को चिप डिजाइन के लिए जल्दी पहुंच मिलेगी, और इस तरह चिप के स्तर में सुरक्षा सेंध लगाने में सक्षम होगा वास्तुकला, जो बहुत प्रभावशाली है। लेकिन फिर भी, यह कुछ ऐसा है जो वहाँ से निकलने वाला है, और अभी भी दोनों पक्षों द्वारा शोषण किया जा सकता है। क्या आपको सुरक्षा प्रोटोकॉल पर सॉफ़्टवेयर विक्रेताओं के साथ सहयोग करने के लिए किसी भी रुझान या हार्डवेयर विक्रेताओं की किसी प्रवृत्ति का पता है?
विक्की हार्प: हाँ, वास्तव में, मुझे विश्वास है कि Microsoft ने कुछ के जैसे, कुछ एन्क्रिप्शन कार्य के लिए मेमोरी स्पेस में सहयोग किया है, वास्तव में मदरबोर्ड पर अलग-अलग चिप्स पर हो रहा है जो आपकी मुख्य मेमोरी से अलग हैं, ताकि कुछ भौतिक रूप से अलग किया गया है। और मेरा मानना है कि वास्तव में कुछ ऐसा था जो माइक्रोसॉफ्ट से विक्रेताओं के पास जाने के संदर्भ में आया था, "क्या हम इसे बनाने का एक तरीका चुन सकते हैं, मूल रूप से यह अनजानी स्मृति है, मैं बफर अतिप्रवाह के माध्यम से नहीं मिल सकता है यह स्मृति, क्योंकि यह कुछ अर्थों में भी नहीं है, इसलिए मुझे पता है कि इसमें से कुछ हो रहा है। "
एरिक कवनघ: हाँ।
विक्की हार्प: यह स्पष्ट रूप से वास्तव में बड़े विक्रेताओं, सबसे अधिक संभावना है।
एरिक कवनघ: हाँ। मैं इसके लिए उत्सुक हूं, और शायद रॉबिन, यदि आपके पास एक दूसरा है, तो मैं वर्षों से आपके अनुभव को जानने के लिए उत्सुक हूं, क्योंकि हार्डवेयर के संदर्भ में, वास्तविक भौतिक विज्ञान के संदर्भ में फिर से क्या आप वेंडर की तरफ से एक साथ डाल रहे हैं, यह जानकारी दोनों पक्षों को जा सकती है, और सैद्धांतिक रूप से हम दोनों पक्षों के पास बहुत जल्दी जाते हैं, इसलिए हार्डवेयर दृष्टिकोण का उपयोग करने के लिए कुछ तरीका है, एक डिजाइन परिप्रेक्ष्य से लेकर बोल्ट सुरक्षा तक? तुम क्या सोचते हो? रॉबिन, आप मूक पर हैं?
रॉबिन ब्लर: हाँ, हाँ। मैं माफी चाहता हूँ, मैं यहाँ हूँ; मैं सिर्फ सवाल कर रहा हूं। सच कहूं तो मुझे एक राय नहीं मिली, यह एक ऐसा क्षेत्र है जिसे मैंने महत्वपूर्ण गहराई से नहीं देखा है, इसलिए मैं इस तरह का हूं, आप जानते हैं, मैं एक राय का आविष्कार कर सकता हूं, लेकिन मुझे वास्तव में नहीं पता है। मैं सॉफ्टवेयर में सुरक्षित होने वाली चीजों को प्राथमिकता देता हूं, यह सिर्फ वह तरीका है जो मैं खेलता हूं, मूल रूप से।
एरिक कवनघ: हाँ। खैर, दोस्तों, हम एक घंटे के माध्यम से जला दिया है और यहाँ बदल जाते हैं। विक्की हार्प को उसके समय और ध्यान के लिए बड़ा धन्यवाद - आपके सभी समय और ध्यान के लिए; इन चीजों के लिए हम आपकी सराहना करते हैं। यह एक बड़ा सौदा है; यह जल्द ही किसी भी समय दूर नहीं जा रहा है। यह एक बिल्ली-और-चूहे का खेल है जो चलते-फिरते और चलते रहते हैं। और इसलिए हम आभारी हैं कि कुछ कंपनियां वहां से बाहर हैं, सुरक्षा को सक्षम करने पर ध्यान केंद्रित किया गया है, लेकिन जैसा कि विक्की ने भी प्रस्तुत किया और अपनी प्रस्तुति में थोड़ी बात की, दिन के अंत में, यह उन संगठनों में है जिन्हें बहुत सावधानी से सोचने की आवश्यकता है इन फ़िशिंग हमलों के बारे में, उस तरह के सोशल इंजीनियरिंग, और अपने लैपटॉप पर पकड़ - इसे कॉफी शॉप पर मत छोड़ो! अपना पासवर्ड बदलें, मूल बातें करें, और आप वहां 80 प्रतिशत प्राप्त करने जा रहे हैं।
तो, उस के साथ, दोस्तों, हम आपको विदाई देने जा रहे हैं, आपके समय और ध्यान के लिए एक बार फिर धन्यवाद। हम अगली बार आपको पकड़ लेंगे, ध्यान रखें। अलविदा।
विक्की हार्प: अलविदा, धन्यवाद।
