टेकोपेडिया स्टाफ द्वारा, 27 अक्टूबर 2016
Takeaway: होस्ट एरिक कवनघ रॉबिन ब्लोर, डीज़ ब्लांचफील्ड और आइडेरा के इग्नासियो रोड्रिगेज के साथ डेटाबेस सुरक्षा पर चर्चा करता है।
आप वर्तमान में लॉग इन नहीं हैं। वीडियो देखने के लिए कृपया लॉग-इन या साइन-अप करें।
एरिक कवनघ: नमस्कार और एक बार फिर से, हॉट टेक्नोलॉजीज में आपका स्वागत है। मेरा नाम एरिक कवनघ है; मैं आज वेबकास्ट के लिए आपका होस्ट बनूंगा और यह एक हॉट विषय है और यह कभी भी हॉट विषय नहीं होगा। यह एक गर्म विषय है क्योंकि, स्पष्ट रूप से, सभी उल्लंघनों के बारे में जो हम सुनते हैं और मैं आपको गारंटी दे सकता हूं कि यह कभी भी दूर नहीं होने वाला है। इसलिए आज का विषय, शो का सटीक शीर्षक जो मुझे कहना चाहिए, वह है "द न्यू नॉर्मल: डीलिंग ऑफ द रियलिटी ऑफ अनसिक्योर वर्ल्ड।" ठीक यही हम साथ काम कर रहे हैं।
हमें आपका होस्ट मिल गया है, आपका सही मायने में वहीं है। कुछ साल पहले, आपका मन करता है, मुझे शायद अपनी फोटो अपडेट करनी चाहिए; वह 2010 था। समय उड़ जाता है। यदि आप कुछ सुझाव देना चाहते हैं तो मुझे एक ईमेल भेजें। तो यह हॉट टेक्नोलॉजी के लिए हमारा मानक "हॉट" स्लाइड है। इस शो का पूरा उद्देश्य वास्तव में एक विशेष स्थान को परिभाषित करना है। तो आज हम सुरक्षा के बारे में बात कर रहे हैं, जाहिर है। हम वास्तव में, IDERA से अपने दोस्तों के साथ इस पर एक बहुत ही दिलचस्प कोण ले रहे हैं।
और मैं इंगित करूंगा कि आप, हमारे दर्शकों के सदस्यों के रूप में, कार्यक्रम में एक महत्वपूर्ण भूमिका निभाते हैं। कृपया शर्मीली मत बनो। किसी भी समय हमें एक प्रश्न भेजें और यदि हम इसके लिए पर्याप्त समय रखते हैं तो हम इसे प्रश्नोत्तर के लिए कतार में खड़ा करेंगे। हमारे पास आज ऑनलाइन तीन लोग हैं, डॉ। रॉबिन ब्लोर, डीज़ ब्लांचफील्ड और इग्नासियो रोड्रिगेज, जो एक अज्ञात स्थान से कॉल कर रहे हैं। तो सबसे पहले, रॉबिन, आप पहले प्रस्तोता हैं। मैं तुम्हें चाबी सौंप दूंगा। इसे दूर ले जाओ।
डॉ। रॉबिन ब्लोर: ठीक है, इसके लिए धन्यवाद, एरिक। डेटाबेस सुरक्षित करना - मुझे लगता है कि हम यह कह सकते हैं कि किसी भी कंपनी को वास्तव में निर्धारित करने वाला सबसे मूल्यवान डेटा एक डेटाबेस में है। इसलिए सुरक्षा की एक पूरी श्रृंखला है जिसके बारे में हम बात कर सकते हैं। लेकिन मैंने सोचा था कि मैं डेटाबेस हासिल करने के विषय पर बात करूंगा। मैं उस प्रेजेंटेशन से कुछ भी दूर नहीं करना चाहता जिसे इग्नासियो देने जा रहा है।
तो चलिए शुरू करते हैं, डेटा सुरक्षा को स्थैतिक लक्ष्य के रूप में समझना आसान है, लेकिन ऐसा नहीं है। यह एक चलती लक्ष्य है। और यह इस तरह से समझना महत्वपूर्ण है कि अधिकांश लोगों के आईटी वातावरण, विशेष रूप से बड़ी कंपनी आईटी वातावरण, हर समय बदल रहे हैं। और क्योंकि वे हर समय बदल रहे हैं, हमले की सतह, उन क्षेत्रों में जहां कोई प्रयास कर सकता है, एक तरह से या किसी अन्य, अंदर या बाहर से, डेटा सुरक्षा से समझौता करने के लिए, हर समय बदल रहा है। और जब आप कुछ ऐसा करते हैं, तो आप एक डेटाबेस को अपग्रेड करते हैं, आपको पता नहीं है कि क्या आपने अभी-अभी ऐसा किया है, अपने लिए कुछ प्रकार की भेद्यता बनाई है। लेकिन आप के बारे में पता नहीं कर रहे हैं और जब तक कुछ घटिया होता है के बारे में पता नहीं कर सकते हैं।
डेटा सुरक्षा का एक संक्षिप्त अवलोकन है। सबसे पहले, डेटा चोरी कोई नई बात नहीं है और जो डेटा मूल्यवान है उसे लक्षित किया जाता है। किसी संगठन के लिए काम करना आम तौर पर आसान होता है, जिस डेटा पर उन्हें सबसे अधिक सुरक्षा देने की आवश्यकता होती है। एक जिज्ञासु तथ्य यह है कि पहला, या जिसे हम पहला कंप्यूटर होने का दावा कर सकते थे, ब्रिटिश खुफिया द्वारा द्वितीय विश्व युद्ध के दौरान एक उद्देश्य को ध्यान में रखकर बनाया गया था, और वह था जर्मन संचार से डेटा चोरी करना।
इसलिए डेटा चोरी आईटी उद्योग का एक हिस्सा रहा है जब से यह शुरू हुआ था। यह इंटरनेट के जन्म के साथ और अधिक गंभीर हो गया। मैं साल-दर-साल होने वाले डेटा उल्लंघनों की संख्या को देख रहा था। और यह संख्या 2005 तक 100 से ऊपर पहुंच गई थी और उस बिंदु से यह हर साल बदतर और बदतर होने की ओर अग्रसर है।
बड़ी मात्रा में डेटा चोरी हो रहा है और बड़ी संख्या में हैक हो रहे हैं। और वे हैक हैं जो रिपोर्ट किए जाते हैं। बहुत बड़ी संख्या में घटनाएं होती हैं जहां कंपनी कभी भी कुछ नहीं कहती है क्योंकि ऐसा कुछ भी नहीं है जो उसे कुछ भी कहने के लिए मजबूर करता है। तो यह डेटा ब्रीच को शांत रखता है। हैकिंग व्यवसाय में कई खिलाड़ी हैं: सरकारें, व्यवसाय, हैकर समूह, व्यक्ति।
एक बात जो मैं अभी उल्लेख करना दिलचस्प समझता हूं, जब मैं मास्को गया था, तो मुझे लगता है कि यह लगभग चार साल पहले था, यह मॉस्को में एक सॉफ्टवेयर सम्मेलन था, मैं एक पत्रकार से बात कर रहा था जो डेटा हैकिंग के क्षेत्र में विशिष्ट था। और उसने दावा किया - और मुझे यकीन है कि वह सही है, लेकिन मैं इसके अलावा नहीं जानता कि वह एकमात्र व्यक्ति है जिसने कभी भी मेरे लिए इसका उल्लेख किया है, लेकिन - रूसी व्यापार नेटवर्क नामक एक रूसी व्यवसाय है, यह शायद एक रूसी है नाम लेकिन मुझे लगता है कि इसका अंग्रेजी अनुवाद है, जिसे वास्तव में हैक करने के लिए रखा गया है।
इसलिए यदि आप दुनिया में कहीं भी एक बड़े संगठन हैं और आप अपनी प्रतिस्पर्धा को नुकसान पहुंचाने के लिए कुछ करना चाहते हैं, तो आप इन लोगों को काम पर रख सकते हैं। और अगर आप इन लोगों को किराए पर लेते हैं, तो आपको बहुत प्रशंसनीय बदनामी मिलती है जैसे कि हैक के पीछे कौन था। क्योंकि अगर यह हैक के पीछे सभी में खोजा गया है, तो यह इंगित करेगा कि यह शायद रूस में कोई है जिसने इसे किया। और ऐसा नहीं लगेगा कि आप किसी प्रतियोगी को नुकसान पहुंचाने की कोशिश कर रहे थे। और मेरा मानना है कि रूसी व्यापार नेटवर्क को वास्तव में सरकारों द्वारा काम करने के लिए बैंकों में हैक करने और यह पता लगाने के लिए काम पर रखा गया है कि आतंकवादी पैसा कैसे घूम रहा है। और यह सरकारों द्वारा प्रशंसनीय विकृतीकरण के साथ किया जाता है जो कभी भी यह स्वीकार नहीं करेंगे कि उन्होंने वास्तव में कभी ऐसा किया था।
हमले और रक्षा की तकनीक विकसित होती है। बहुत समय पहले मैं कैओस क्लब जाता था। यह जर्मनी की एक साइट थी जहाँ आप पंजीकरण कर सकते थे और आप विभिन्न लोगों की बातचीत का अनुसरण कर सकते थे और देख सकते थे कि क्या उपलब्ध था। और मैंने यह किया कि जब मैं सुरक्षा प्रौद्योगिकी को देख रहा था, तो मैं 2005 के आसपास सोचता हूं। और मैंने ऐसा सिर्फ यह देखने के लिए किया कि नीचे क्या हो रहा था और मुझे आश्चर्यचकित करने वाली बात यह थी कि वायरस की संख्या, जहां यह मूल रूप से एक ओपन-सोर्स सिस्टम था मैं चल रहा था और जिन लोगों के पास वायरस या एन्हांस्ड वायरस थे, वे किसी को भी इस्तेमाल करने के लिए कोड को वहीं चिपका रहे थे। और यह उस समय हुआ था जब हैकर्स बहुत, बहुत स्मार्ट हो सकते हैं, लेकिन हैकर्स का एक बहुत बड़ा कारण है, जो जरूरी नहीं कि बिल्कुल स्मार्ट हो, लेकिन वे स्मार्ट टूल्स का उपयोग कर रहे हैं। और उनमें से कुछ उपकरण उल्लेखनीय रूप से स्मार्ट हैं।
और यहां अंतिम बिंदु: व्यवसायों के पास अपने डेटा पर देखभाल का कर्तव्य है, चाहे वे इसके मालिक हों या नहीं। और मुझे लगता है कि यह पहले की तुलना में अधिक साकार हो रहा है। और यह अधिक से अधिक होता जा रहा है, चलो कहते हैं, एक व्यवसाय के लिए महंगा वास्तव में एक हैक से गुजरना है। हैकर्स के बारे में, वे कहीं भी स्थित हो सकते हैं, शायद उन्हें न्याय में लाना मुश्किल हो, भले ही वे ठीक से पहचाने जाएं। उनमें से कई बहुत कुशल हैं। उल्लेखनीय संसाधनों, वे सभी जगह botnets मिला है। हाल ही में हुए DDoS हमले के बारे में माना जाता था कि यह एक अरब से अधिक उपकरणों से आया है। मुझे नहीं पता कि यह सच है या क्या यह केवल एक राउंड नंबर का उपयोग करने वाला रिपोर्टर है, लेकिन निश्चित रूप से DNS नेटवर्क पर हमला करने के लिए बड़ी संख्या में रोबोट उपकरणों का उपयोग किया गया था। कुछ लाभदायक व्यवसाय, सरकारी समूह हैं, वहाँ आर्थिक युद्ध है, वहाँ साइबर युद्ध है, वहाँ सब कुछ चल रहा है, और यह संभावना नहीं है, मुझे लगता है कि हम राष्ट्रपति में कह रहे थे, यह कभी भी समाप्त होने की संभावना नहीं है।
अनुपालन और नियम - कई चीजें हैं जो वास्तव में चलती हैं। बहुत सी अनुपालन पहलें हैं जो कि सेक्टर आधारित हैं, आप जानते हैं - फार्मास्युटिकल सेक्टर या बैंकिंग सेक्टर या स्वास्थ्य क्षेत्र - की विशिष्ट पहल हो सकती है जिसका लोग पालन कर सकते हैं, विभिन्न प्रकार के सर्वोत्तम अभ्यास। लेकिन कई आधिकारिक नियम भी हैं, क्योंकि वे कानून हैं, उनके पास किसी के लिए भी दंड है जो कानून का उल्लंघन करता है। अमेरिकी उदाहरण HIPAA, SOX, FISMA, FERPA, GLBA हैं। कुछ मानक हैं, PCI-DSS कार्ड कंपनियों के लिए एक मानक है। ISO / IEC 17799 एक सामान्य मानक प्राप्त करने की कोशिश पर आधारित है। यह डेटा का स्वामित्व है। राष्ट्रीय नियम अलग-अलग देशों में, यहां तक कि यूरोप में, या शायद एक को कहना चाहिए, खासकर यूरोप में जहां यह बहुत भ्रामक है। और वहाँ एक GDPR है, एक वैश्विक डेटा संरक्षण विनियमन वर्तमान में यूरोप और संयुक्त राज्य अमेरिका के बीच बातचीत की कोशिश की जा रही है और नियमों में सामंजस्य स्थापित करें क्योंकि वहाँ बहुत सारे हैं, आमतौर पर जैसे वे हैं, प्रभाव में हैं, अंतरराष्ट्रीय, और फिर क्लाउड सेवाएं हैं जो आप यह मत सोचो कि आपका डेटा अंतर्राष्ट्रीय था, लेकिन जैसे ही आप क्लाउड में गए, यह अंतर्राष्ट्रीय हो गया, क्योंकि यह आपके देश से बाहर चला गया था। इसलिए ये उन विनियमों का एक समूह हैं जिनसे बातचीत की जा रही है, एक या दूसरे तरीके से, डेटा सुरक्षा से निपटने के लिए। और उस में से अधिकांश को एक व्यक्ति के डेटा के साथ क्या करना है, ज़ाहिर है, जिसमें सभी पहचान डेटा शामिल हैं।
चीजों के बारे में सोचने के लिए: डेटाबेस कमजोरियों। डेटाबेस वेंडरों द्वारा ज्ञात और रिपोर्ट की जाने वाली कमजोरियों की एक सूची होती है, जब उन्हें खोजा जाता है और जितनी जल्दी हो सके पैच किया जाता है, इसलिए यह सब होता है। ऐसी चीजें हैं जो कमजोर डेटा की पहचान करने के मामले में इससे संबंधित हैं। भुगतान डेटा पर बड़े और सबसे सफल हैक में से एक भुगतान प्रसंस्करण कंपनी को किया गया था। बाद में इसे संभाल लिया गया क्योंकि अगर इसे नहीं किया गया था, तो इसे परिसमापन में जाना था, लेकिन किसी भी संचालन डेटाबेस से डेटा चोरी नहीं हुआ था। डेटा एक परीक्षण डेटाबेस से चोरी हो गया था। यह सिर्फ इतना हुआ कि डेवलपर्स ने डेटा का एक सबसेट ले लिया था जो वास्तविक डेटा था और इसका उपयोग, बिना किसी सुरक्षा के, एक परीक्षण डेटाबेस में किया गया था। परीक्षण डेटाबेस को हैक कर लिया गया था और लोगों के व्यक्तिगत वित्तीय विवरणों का एक बहुत कुछ इसे से लिया गया था।
सुरक्षा नीति, विशेष रूप से सुरक्षा के संबंध में डेटाबेस के संबंध में, कौन पढ़ सकता है, कौन लिख सकता है, कौन अनुमति दे सकता है, क्या कोई ऐसा तरीका है जिससे कोई भी इस पर नकेल कस सके? फिर, निश्चित रूप से, डेटाबेस से एन्क्रिप्ट कि अनुमति देते हैं। एक सुरक्षा उल्लंघन की लागत है। मुझे नहीं पता कि यह संगठनों के भीतर मानक अभ्यास है, लेकिन मुझे पता है कि कुछ, जैसे, मुख्य सुरक्षा अधिकारी अधिकारियों को कुछ विचार प्रदान करने की कोशिश करते हैं कि वास्तव में सुरक्षा ब्रीच की लागत क्या होती है, यह पहले की बजाय होता है। और, उन्हें, यह सुनिश्चित करने की आवश्यकता है कि संगठन की रक्षा करने में सक्षम होने के लिए उन्हें बजट की सही मात्रा मिले।
और फिर हमले की सतह। हमले की सतह हर समय बढ़ने लगती है। यह वर्ष पर है हमले की सतह बस बढ़ने लगती है। इसलिए सारांश में, सीमा एक और बिंदु है, लेकिन डेटा सुरक्षा आमतौर पर डीबीए की भूमिका का हिस्सा है। लेकिन डेटा सुरक्षा भी एक सहयोगी गतिविधि है। आपको सुरक्षा की आवश्यकता है, यदि आपको समग्र रूप से संगठन के लिए सुरक्षा सुरक्षा का पूरा विचार रखने की आवश्यकता है। और इस पर कॉर्पोरेट नीति बनाने की जरूरत है। अगर कॉर्पोरेट नीतियां नहीं हैं, तो आप केवल टुकड़े टुकड़े समाधान के साथ समाप्त होते हैं। आप जानते हैं, रबर बैंड और प्लास्टिक, की तरह, सुरक्षा को रोकने के प्रयास।
इसलिए कहा जा रहा है, मुझे लगता है कि मैं डीज़ को सौंपता हूं जो संभवतः आपको विभिन्न युद्ध की कहानियां देने जा रहे हैं।
एरिक कवनघ : इसे हटाओ, डीज़।
Dez Blanchfield: धन्यवाद, रॉबिन। इसका पालन करना हमेशा कठिन कार्य होता है। मैं स्पेक्ट्रम के विपरीत छोर से बस इस पर आने वाला हूं, मुझे लगता है, हमें उस चुनौती के पैमाने का एहसास दिलाएं जो आप का सामना कर रहे हैं और हमें बस बैठने से अधिक क्यों करना चाहिए और इस पर ध्यान देना चाहिए । अब हम जिस चुनौती को पैमाने और मात्रा और मात्रा के साथ देख रहे हैं, जिस गति से ये चीजें हो रही हैं, वह यह है कि जिस चीज के बारे में मैं सुन रहा हूं वह जगह अब बहुत सारे सीएक्सओ के साथ है, न केवल सीआईओ बल्कि निश्चित रूप से। सीआईओ वे हैं जो उपस्थिति में हैं जहां हिरन रुकता है, यह है कि वे डेटा उल्लंघनों को तेजी से आदर्श बनने का विचार करते हैं। यह कुछ ऐसा है जो वे लगभग होने की उम्मीद करते हैं। तो वे इसे देखने के दृष्टिकोण से देख रहे हैं, "ठीक है, ठीक है, जब हम भंग हो जाते हैं - अगर नहीं - जब हम भंग हो जाते हैं, तो हमें इस बारे में क्या करने की आवश्यकता है?" और फिर बातचीत शुरू होती है। पारंपरिक किनारे के वातावरण और राउटर, स्विच, सर्वर, घुसपैठ का पता लगाने, घुसपैठ निरीक्षण में वे क्या कर रहे हैं? वे खुद सिस्टम में क्या कर रहे हैं? वे डेटा के साथ क्या कर रहे हैं? और फिर यह सब वापस आता है जो उन्होंने अपने डेटाबेस के साथ किया था।
मुझे बस कुछ ऐसे उदाहरणों के एक जोड़े के बारे में बताएं, जिन्होंने बहुत से लोगों की कल्पना को पकड़ लिया है और फिर नीचे की तरफ ड्रिल करते हैं, जिस तरह से, उन्हें थोड़ा तोड़ते हैं। इसलिए हमने समाचारों में सुना है कि याहू - शायद सबसे बड़ी संख्या जो लोगों ने सुनी है वह लगभग आधा मिलियन है, लेकिन यह वास्तव में पता चलता है कि यह अनधिकृत रूप से एक अरब की तरह है - मैंने तीन अरब की एक संख्या को सुना, लेकिन यह लगभग है आधी दुनिया की आबादी तो मुझे लगता है कि थोड़ी अधिक है। लेकिन मैंने इसे प्रासंगिक स्थानों में कई लोगों से सत्यापित किया है, जो मानते हैं कि याहू से बाहर किए गए एक अरब से अधिक रिकॉर्ड हैं। और यह सिर्फ एक दिमाग की संख्या है। अब कुछ खिलाड़ी देखते हैं और सोचते हैं, ठीक है, यह केवल वेबमेल खाते हैं, कोई बड़ी बात नहीं है, लेकिन फिर, आप इस तथ्य को जोड़ते हैं कि उन वेबमेल खातों में से एक, और एक उत्सुकता से उच्च संख्या, जो कि मैंने अनुमान लगाया था, वास्तव में भुगतान किए गए खाते हैं। यहीं पर लोग अपने क्रेडिट कार्ड का विवरण डालते हैं और वे विज्ञापनों को हटाने के लिए भुगतान करते हैं, क्योंकि वे विज्ञापनों से तंग आ जाते हैं और इसलिए $ 4 या $ 5 प्रति माह वे एक वेबमेल और क्लाउड स्टोरेज सेवा खरीदने के लिए तैयार होते हैं जिसमें विज्ञापन नहीं होते हैं, और मैं उनमें से एक हूं, और मुझे तीन अलग-अलग प्रदाताओं में मिला है, जहां मैं अपना क्रेडिट कार्ड प्लग इन करता हूं।
तो फिर चुनौती को थोड़ा और ध्यान खींचने की जरूरत है क्योंकि यह सिर्फ एक ऐसी चीज नहीं है, जो यह कहती है कि '' अच्छी तरह से, याहू खो गया है, चलो 500 मिलियन और 1, 000 मिलियन खातों के बीच खो गया है, '' 1, 000 मिलियन बनाता है ध्वनि बहुत बड़ी है, और वेबमेल खाते हैं, लेकिन क्रेडिट कार्ड विवरण, पहला नाम, अंतिम नाम, ईमेल पता, जन्म तिथि, क्रेडिट कार्ड, पिन नंबर, जो भी आप चाहते हैं, पासवर्ड, और फिर यह एक बहुत अधिक भयावह अवधारणा बन जाता है। और फिर से लोग मुझसे कहते हैं, "हां, लेकिन यह सिर्फ वेब सेवा है, यह सिर्फ वेबमेल है, कोई बड़ी बात नहीं है।" और फिर मैं कहता हूं, "हां, ठीक है, याहू खाते को खरीदने के लिए याहू मनी सेवाओं में भी इस्तेमाल किया जा सकता है। और शेयर बेचते हैं। ”तब यह और अधिक दिलचस्प हो जाता है। और जैसा कि आप इसे नीचे ड्रिल करना शुरू करते हैं, आपको पता चलता है कि, ठीक है, यह वास्तव में घर पर केवल माताओं और डैड्स से अधिक है, और किशोरों, मैसेजिंग खातों के साथ, यह वास्तव में कुछ ऐसा है जहां लोग व्यापार लेनदेन कर रहे हैं।
इसलिए यह स्पेक्ट्रम का एक छोर है। स्पेक्ट्रम का दूसरा छोर यह है कि ऑस्ट्रेलिया में एक बहुत छोटा, सामान्य अभ्यास, स्वास्थ्य सेवा प्रदाता के पास लगभग 1, 000 रिकॉर्ड थे। एक आंतरिक काम था, कोई बचा था, वे बस उत्सुक थे, वे दरवाजे से बाहर चले गए, इस मामले में यह 3.5 इंच की फ्लॉपी डिस्क थी। यह कुछ समय पहले था - लेकिन आप मीडिया के युग को बता सकते हैं - लेकिन वे पुरानी तकनीक पर थे। लेकिन यह पता चला कि जिस कारण से उन्होंने डेटा लिया था, वे सिर्फ इस बारे में उत्सुक थे कि वहां कौन था। क्योंकि वे इस छोटे से शहर में काफी लोग थे, जो हमारी राष्ट्रीय राजधानी थी, जो राजनेता थे। और वे इस बात में रुचि रखते थे कि वहां कौन था और उनका जीवन कहां था और इस तरह की सभी जानकारी थी। इसलिए आंतरिक रूप से किए गए एक बहुत ही छोटे डेटा ब्रीच के साथ, ऑस्ट्रेलियाई सरकार के विवरणों में काफी बड़ी संख्या में राजनेताओं को जनता में माना जाता था।
हमें स्पेक्ट्रम के दो अलग-अलग छोर मिल गए हैं। अब हकीकत इन बातों का सरासर पैमाना है, जो अभी काफी चौंका देने वाली है और मुझे एक स्लाइड मिली है कि हम बहुत जल्दी यहां तक पहुंचने वाले हैं। ऐसी कुछ वेबसाइटें हैं जो सभी प्रकार के डेटा को सूचीबद्ध करती हैं, लेकिन यह विशेष रूप से एक सुरक्षा विशेषज्ञ से है, जिसके पास वह वेबसाइट थी जहाँ आप जा सकते हैं और अपने ईमेल पते, या अपने नाम के लिए खोज कर सकते हैं, और यह आपको डेटा की हर घटना दिखाएगा पिछले 15 वर्षों में उल्लंघन करने पर वह अपने हाथों को प्राप्त करने में सक्षम है, और फिर एक डेटाबेस में लोड करें और सत्यापित करें, और यह आपको बताएगा कि क्या आपको शब्दबद्ध किया गया है, जैसा कि यह शब्द है। लेकिन जब आप इनमें से कुछ नंबरों को देखना शुरू करते हैं और इस स्क्रीनशॉट को उसके नवीनतम संस्करण के साथ अपडेट नहीं किया गया है, जिसमें एक जोड़ी शामिल है, जैसे याहू। लेकिन बस यहां सेवाओं के प्रकार के बारे में सोचें। हमें माइस्पेस मिल गया है, हमें लिंक्डइन, एडोब मिल गया है। एडोब दिलचस्प है क्योंकि लोग देखते हैं और सोचते हैं, ठीक है, एडोब का क्या मतलब है? हम में से अधिकांश जो किसी न किसी रूप में एडोब रीडर डाउनलोड कर रहे हैं, हममें से बहुतों ने क्रेडिट कार्ड के साथ एडोब उत्पादों को खरीदा है, जो 152 मिलियन लोग हैं।
अब, पहले रॉबिन की बात करें, तो ये बहुत बड़ी संख्या हैं, इनसे अभिभूत होना आसान है। जब आपको 359 मिलियन खाते मिले हैं तो क्या होगा? खैर, कुछ बातें हैं। रॉबिन ने इस तथ्य पर प्रकाश डाला कि डेटा किसी न किसी रूप में डेटाबेस में है। यह महत्वपूर्ण संदेश है। इस ग्रह पर लगभग कोई भी, जिसे मैं जानता हूं, जो किसी भी रूप में एक प्रणाली चलाता है, इसे डेटाबेस में संग्रहीत नहीं करता है। लेकिन जो दिलचस्प है, उस डेटाबेस में तीन अलग-अलग प्रकार के डेटा हैं। उपयोगकर्ता नाम और पासवर्ड जैसे सुरक्षा-संबंधित सामान हैं, जो आमतौर पर एन्क्रिप्ट किए जाते हैं, लेकिन हमेशा ऐसे उदाहरण हैं जहां वे नहीं हैं। उनके प्रोफ़ाइल और डेटा के आसपास वास्तविक ग्राहक जानकारी है कि वे बना रहे हैं कि क्या यह एक स्वास्थ्य रिकॉर्ड है या यह ईमेल या त्वरित संदेश है। और फिर वास्तविक एम्बेडेड तर्क है, इसलिए यह संग्रहीत कार्यविधियाँ हो सकती हैं, यह नियमों का एक पूरा गुच्छा हो सकता है, अगर + यह + तो + वह। और हमेशा कि ASCII पाठ डेटाबेस में अटक गया है, बहुत कम लोग यह सोचकर बैठते हैं, "ठीक है, ये व्यापारिक नियम हैं, यह हमारे डेटा को इधर-उधर ले जाता है और नियंत्रित होता है, हमें इसे आराम से होने पर संभावित रूप से एन्क्रिप्ट करना चाहिए, और जब यह अंदर हो गति शायद हम इसे डिक्रिप्ट करें और इसे मेमोरी में रखें, "लेकिन आदर्श रूप में यह संभवतः भी होना चाहिए।
लेकिन यह इस महत्वपूर्ण बिंदु पर वापस आता है कि यह सारा डेटा किसी न किसी रूप के डेटाबेस में होता है और अधिक बार ध्यान नहीं दिया जाता है, सिर्फ ऐतिहासिक रूप से, राउटर और स्विच और सर्वर और यहां तक कि भंडारण पर होता है, और डेटाबेस पर हमेशा नहीं पीछे का छोर। क्योंकि हमें लगता है कि हमने नेटवर्क को कवर कर लिया है और यह एक तरह का है, जैसे एक पुराना, एक प्रकार का, एक महल में रहता है और आप इसके चारों ओर एक खाई डालते हैं और आपको लगता है कि बुरे लोग इसमें नहीं जा रहे हैं तैरने में सक्षम हो। लेकिन फिर अचानक बुरे लोगों ने काम किया कि कैसे विस्तारित सीढ़ी बनाने के लिए और उन्हें खंदक पर फेंक दिया और खंदक पर चढ़कर दीवारों पर चढ़ गए। और अचानक आपकी खाई बहुत बेकार है।
तो हम अब उस परिदृश्य में हैं जहाँ संगठन स्प्रिंट में कैच-अप मोड में हैं। वे वस्तुतः सभी प्रणालियों में, मेरे विचार में, और निश्चित रूप से मेरे अनुभव में घूम रहे हैं, यह हमेशा इन वेब इकसिंगों के रूप में नहीं होता है, जैसा कि हम अक्सर उनका उल्लेख करते हैं, अधिक बार यह पारंपरिक उद्यम संगठनों की तुलना में नहीं होता है जो भंग हो रहे हैं। और आपको पता नहीं है कि वे कौन हैं। वहाँ pastebin.net नामक एक वेबसाइटें हैं और यदि आप pastebin.net पर जाते हैं और आप बस ईमेल सूची या पासवर्ड सूची टाइप करते हैं, तो आप एक दिन में सैकड़ों हजारों प्रविष्टियाँ समाप्त कर देंगे जो जोड़े जा रहे हैं जहाँ लोग उदाहरण डेटा सेट सूचीबद्ध कर रहे हैं पहले नाम, अंतिम नाम, क्रेडिट कार्ड विवरण, उपयोगकर्ता नाम, पासवर्ड, डिक्रिप्ट किए गए पासवर्ड के एक हजार रिकॉर्ड तक। जहां लोग उस सूची को पकड़ सकते हैं, वहां जा सकते हैं और उनमें से तीन या चार को सत्यापित कर सकते हैं और यह तय कर सकते हैं कि हां, मैं उस सूची को खरीदना चाहता हूं और आमतौर पर कुछ ऐसा तंत्र है जो डेटा बेचने वाले व्यक्ति को किसी प्रकार का अनाम गेटवे प्रदान कर रहा है।
अब क्या दिलचस्प है कि एक बार संबद्ध उद्यमी को पता चलता है कि वे ऐसा कर सकते हैं, तो यह महसूस करने के लिए बहुत अधिक कल्पना नहीं है कि यदि आप इन सूचियों में से एक खरीदने के लिए US $ 1, 000 खर्च करते हैं, तो पहली बात यह है कि आप इसके साथ क्या करते हैं? आप नहीं जाते हैं और खातों को ट्रैक करने की कोशिश करते हैं, आप इसकी एक कॉपी pastbin.net पर डालते हैं और आप दो प्रतियाँ $ 1, 000 में बेचते हैं और $ 1, 000 का लाभ कमाते हैं। और ये बच्चे हैं जो ऐसा कर रहे हैं। दुनिया भर में कुछ बेहद बड़े पेशेवर संगठन हैं जो जीवनयापन के लिए ऐसा करते हैं। यहां तक कि राज्य-राष्ट्र भी हैं जो अन्य राज्यों पर हमला करते हैं। आप जानते हैं, अमेरिका द्वारा चीन पर हमला करने, चीन पर अमेरिका पर हमला करने के बारे में बहुत सी बातें हैं, यह काफी सरल नहीं है, लेकिन निश्चित रूप से सरकारी संगठन हैं जो सिस्टम को भंग कर रहे हैं जो डेटाबेस द्वारा हमेशा के लिए संचालित होते हैं। यह केवल छोटे संगठनों का मामला नहीं है, यह देशों बनाम देशों का भी है। यह हमें उस मुद्दे पर वापस लाता है, जहां डेटा संग्रहीत है? यह एक डेटाबेस में है। क्या नियंत्रण और तंत्र हैं? या वास्तव में वे एन्क्रिप्टेड नहीं हैं, और यदि वे एन्क्रिप्ट किए गए हैं, तो यह हमेशा सभी डेटा नहीं होता है, शायद यह सिर्फ पासवर्ड है जो नमकीन और एन्क्रिप्टेड है।
और इसके चारों ओर लिपटे हुए हमारे पास उस डेटा में क्या है और हम डेटा और एसओएक्स अनुपालन तक कैसे पहुंच प्रदान करते हैं, के साथ कई चुनौतियां हैं। इसलिए यदि आप धन प्रबंधन या बैंकिंग के बारे में सोचते हैं, तो आपको ऐसे संगठन मिल गए हैं, जो क्रेडेंशियल चुनौती के बारे में चिंता करते हैं; आपको ऐसे संगठन मिले हैं जो कॉर्पोरेट स्पेस में अनुपालन के बारे में चिंता करते हैं; आपको सरकारी अनुपालन और नियामक आवश्यकताएं मिली हैं; अब आपको परिदृश्य मिल गए हैं जहाँ हमें डेटाबेस मिल गया है; हमें तृतीय-पक्ष डेटा केंद्रों में डेटाबेस मिला है; हमें क्लाउड वातावरण में बैठे डेटाबेस मिले हैं, इसलिए इसके क्लाउड वातावरण हमेशा देश में नहीं हैं। और इसलिए यह एक बड़ी और बड़ी चुनौती बनती जा रही है, न कि केवल शुद्ध सुरक्षा से, चलो-न-हैक किए गए दृष्टिकोण से, बल्कि यह भी, कि हम अनुपालन के सभी विभिन्न स्तरों को कैसे पूरा करते हैं? न केवल HIPAA और ISO मानकों, बल्कि राज्य स्तर, राष्ट्रीय स्तर और वैश्विक स्तर पर सीमा पार करने वाले शाब्दिक दर्जनों और दर्जनों हैं। यदि आप ऑस्ट्रेलिया के साथ व्यापार कर रहे हैं, तो आप सरकारी डेटा को स्थानांतरित नहीं कर सकते। कोई भी ऑस्ट्रेलियाई निजी डेटा राष्ट्र को नहीं छोड़ सकता। यदि आप जर्मनी में हैं तो यह और भी सख्त है। और मुझे पता है कि कई कारणों से अमेरिका इस पर बहुत तेज़ी से आगे बढ़ रहा है।
लेकिन यह मुझे फिर से उस पूरी चुनौती पर वापस लाता है कि आप कैसे जानते हैं कि आपके डेटाबेस में क्या हो रहा है, आप इसकी निगरानी कैसे करते हैं, आप यह कैसे बताते हैं कि डेटाबेस में कौन क्या कर रहा है, जिसे विभिन्न तालिकाओं और पंक्तियों और स्तंभों और क्षेत्रों के बारे में जानकारी मिली है, वे इसे कब पढ़ते हैं, वे इसे कितनी बार पढ़ते हैं और कौन इसे ट्रैक करता है? और मुझे लगता है कि आज मैं अपने अतिथि को सौंपने से पहले मुझे अपने अंतिम बिंदु पर लाता हूं, जो इस समस्या को हल करने के बारे में बात करने में हमारी मदद करने जा रहा है। लेकिन मैं हमें इस एक विचार के साथ छोड़ना चाहता हूं और वह यह है कि बहुत सारा ध्यान व्यवसाय की लागत और संगठन की लागत पर है। और हम आज इस बात को विस्तार से नहीं बताने जा रहे हैं, लेकिन मैं इसे केवल विचार के लिए हमारे दिमाग में छोड़ना चाहता हूं और यह है कि एक ब्रीच के बाद साफ करने के लिए यूएस $ 135 और यूएस $ 585 प्रति रिकॉर्ड के बीच लगभग एक अनुमान है। इसलिए राउटर और स्विचेस और सर्वर के आसपास आप अपनी सुरक्षा में जो निवेश करते हैं, वह सब अच्छा और अच्छा और फायरवॉल होता है, लेकिन आपने अपने डेटाबेस की सुरक्षा में कितना निवेश किया है?
लेकिन यह एक झूठी अर्थव्यवस्था है और जब याहू का उल्लंघन हाल ही में हुआ, और मेरे पास अच्छे अधिकार हैं, तो यह लगभग एक बिलियन अकाउंट है, न कि 500 मिलियन। जब Verizon ने 4.3 बिलियन जैसी चीज़ के लिए संगठन को खरीदा, जैसे ही ब्रीच हुआ, उन्होंने एक बिलियन डॉलर वापस मांगे, या छूट। अब यदि आप गणित करते हैं और आप कहते हैं कि लगभग एक बिलियन रिकॉर्ड हैं जो कि भंग हो गए हैं, एक बिलियन डॉलर की छूट, एक रिकॉर्ड को साफ करने के लिए $ 135 से $ 535 का अनुमान अब $ 1 हो गया है। जो, फिर से, दूरगामी है। एक बिलियन रिकॉर्ड को साफ करने में $ 1 का खर्च नहीं आता है। उस आकार के उल्लंघन के लिए एक बिलियन रिकॉर्ड साफ करने के लिए $ 1 प्रति रिकॉर्ड पर। आप उस तरह की लागत के लिए एक प्रेस विज्ञप्ति भी नहीं निकाल सकते। और इसलिए हम हमेशा आंतरिक चुनौतियों पर ध्यान केंद्रित करते हैं।
लेकिन चीजों में से एक, मुझे लगता है, और यह हमें डेटाबेस स्तर पर बहुत गंभीरता से लेने के लिए मजबूर करता है, यही कारण है कि यह हमारे बारे में बात करने के लिए एक बहुत ही महत्वपूर्ण विषय है, और वह यह है कि, हम कभी भी मानव के बारे में बात नहीं करते हैं टोल। मानव टोल क्या है जो हम इस पर खर्च करते हैं? और मैं एक उदाहरण लेता हूं इससे पहले कि मैं जल्दी से लपेटता हूं। लिंक्डइन: 2012 में, लिंक्डइन सिस्टम को हैक कर लिया गया था। बहुत सारे वैक्टर थे और मैं उसमें नहीं जाऊंगा। और करोड़ों के खाते चोरी हो गए। लोग 160-मिलियन मिलियन के बारे में कहते हैं, लेकिन यह वास्तव में बहुत बड़ी संख्या है, यह लगभग 240 मिलियन के रूप में हो सकता है। लेकिन इस साल की शुरुआत तक इस उल्लंघन की घोषणा नहीं की गई थी। यह चार साल है कि लाखों लोगों के रिकॉर्ड वहाँ हैं। अब, कुछ लोग क्रेडिट कार्ड के साथ सेवाओं के लिए भुगतान कर रहे थे और कुछ लोग मुफ्त खातों के साथ। लेकिन लिंक्डइन का दिलचस्प है, क्योंकि न केवल वे आपके खाते के विवरण तक पहुंच प्राप्त करते हैं यदि आप भंग हो गए थे, बल्कि उन्हें आपकी सभी प्रोफ़ाइल जानकारी तक भी पहुंच मिली। इसलिए, आप किससे जुड़े थे और आपके पास जितने भी कनेक्शन थे, और उनके पास कितने प्रकार की नौकरियां थीं और उनके पास किस प्रकार के कौशल थे और कब तक वे कंपनियों और सभी तरह की जानकारियों और उनके संपर्क विवरणों पर काम करते थे।
इसलिए इन डेटाबेस में मौजूद डेटा को हासिल करने के लिए हमारे पास मौजूद चुनौती के बारे में सोचें, और खुद डेटाबेस सिस्टम को सुरक्षित और प्रबंधित करें, और प्रभाव पर प्रवाह, उस डेटा के मानव टोल को चार साल के लिए बाहर रखा जाए। और संभावना है कि कोई दक्षिण पूर्व एशिया में कहीं छुट्टी के लिए बदल सकता है और उन्होंने चार साल तक अपना डेटा बाहर रखा है। और हो सकता है कि किसी व्यक्ति ने कार खरीदी हो या होम लोन प्राप्त किया हो या क्रेडिट कार्ड पर साल भर में दस फोन खरीदे हों, जहां उन्होंने उस डेटा पर एक फर्जी आईडी बनाई थी, जो चार साल के लिए बाहर थी - क्योंकि लिंक्डइन डेटा ने भी आपको पर्याप्त जानकारी दी थी। एक बैंक खाता और एक फर्जी आईडी बनाएं - और आपको हवाई जहाज मिलता है, आप छुट्टी के लिए जाते हैं, आप उतरते हैं और आपको जेल में डाल दिया जाता है। और आपको जेल में क्यों डाला गया? ठीक है, क्योंकि आपने अपनी आईडी चुरा ली थी। किसी ने एक फर्जी आईडी बनाई और आपके और सैकड़ों हजारों डॉलर की तरह काम किया और वे चार साल से ऐसा कर रहे थे और आपको इसके बारे में पता भी नहीं था। क्योंकि यह वहाँ है, यह बस हुआ।
इसलिए मुझे लगता है कि यह हमें इस चुनौती की ओर ले जाता है कि हम कैसे जानते हैं कि हमारे डेटाबेस पर क्या हो रहा है, हम इसे कैसे ट्रैक करते हैं, हम इसकी निगरानी कैसे करते हैं? और मैं यह सुनने के लिए उत्सुक हूं कि IDERA पर हमारे दोस्त कैसे पता करने के लिए एक समाधान के साथ आए हैं। और उसके साथ, मैं सौंप दूंगा।
एरिक कवानघ: ठीक है, इग्नासियो, मंजिल तुम्हारी है।
इग्नासियो रोड्रिगेज: ठीक है। अच्छा, सबका स्वागत है। मेरा नाम इग्नासियो रोड्रिगेज, जिसे इग्गी के नाम से जाना जाता है। मैं IDERA और सुरक्षा उत्पादों के लिए एक उत्पाद प्रबंधक के साथ हूं। वास्तव में अच्छे विषय जो हमने अभी कवर किए हैं, और हमें वास्तव में डेटा उल्लंघनों के बारे में चिंता करना है। हमें कड़ी सुरक्षा नीतियों की आवश्यकता है, हमें कमजोरियों की पहचान करने और सुरक्षा स्तरों का आकलन करने, उपयोगकर्ता अनुमतियों को नियंत्रित करने, सर्वर सुरक्षा को नियंत्रित करने और ऑडिट का पालन करने की आवश्यकता है। मैं अपने पिछले इतिहास में ऑडिटिंग कर रहा हूं, ज्यादातर ओरेकल की तरफ। मैंने SQL सर्वर पर कुछ किया है और उन्हें टूल या मूल रूप से, होमग्रोन स्क्रिप्ट्स के साथ कर रहा था, जो बहुत अच्छा था, लेकिन आपको रिपॉजिटरी बनाना होगा और यह सुनिश्चित करना होगा कि रिपॉजिटरी सुरक्षित थी, लगातार ऑडिटर से बदलाव के साथ स्क्रिप्ट को बनाए रखने के लिए।, तुम्हारे पास क्या है।
इसलिए, टूल्स में, अगर मुझे पता होता कि IDERA वहां से बाहर था और एक टूल था, तो मैंने संभावना से अधिक उसे खरीद लिया होगा। लेकिन किसी भी तरह, हम सुरक्षित के बारे में बात करने जा रहे हैं। यह हमारे सुरक्षा उत्पाद लाइन में हमारे उत्पादों में से एक है और यह मूल रूप से क्या करता है हम सुरक्षा नीतियों को देख रहे हैं और उन पर विनियामक दिशानिर्देशों की मैपिंग कर रहे हैं। आप SQL सर्वर सेटिंग्स का पूरा इतिहास देख सकते हैं और आप मूल रूप से उन सेटिंग्स का एक आधार रेखा भी कर सकते हैं और फिर भविष्य के परिवर्तनों के खिलाफ तुलना कर सकते हैं। आप एक स्नैपशॉट बनाने में सक्षम हैं, जो आपकी सेटिंग्स की आधार रेखा है, और तब ट्रैक करने में सक्षम हो सकता है यदि उन चीजों में से किसी को बदल दिया गया है और यदि वे बदले जाते हैं तो भी सतर्क हो जाएं।
जिन चीजों को हम अच्छी तरह से करते हैं उनमें से एक सुरक्षा जोखिम और उल्लंघन को रोकती है। सुरक्षा रिपोर्ट कार्ड आपको सर्वर पर शीर्ष सुरक्षा भेद्यता का एक दृश्य देता है और फिर प्रत्येक सुरक्षा जांच को उच्च, मध्यम या निम्न जोखिम के रूप में वर्गीकृत किया जाता है। अब, इन श्रेणियों या सुरक्षा जांचों पर, इन सभी को संशोधित किया जा सकता है। मान लीजिए कि आपके पास कुछ नियंत्रण हैं और हमारे पास मौजूद किसी एक टेम्पलेट का उपयोग करते हैं और आप तय करते हैं, ठीक है, हमारे नियंत्रण वास्तव में संकेत देते हैं या चाहते हैं कि यह भेद्यता वास्तव में उच्च नहीं है, बल्कि एक मध्यम या इसके विपरीत है। आपके पास कुछ ऐसे हो सकते हैं जिन्हें माध्यम के रूप में लेबल किया गया है, लेकिन आपके संगठन में जो नियंत्रण आप उन्हें लेबल करना चाहते हैं, या उन्हें उच्चतर मान सकते हैं, वे सभी सेटिंग्स उपयोगकर्ता द्वारा कॉन्फ़िगर करने योग्य हैं।
एक और महत्वपूर्ण मुद्दा जिसे हमें देखने की जरूरत है, वह है कमजोरियों की पहचान करना। यह समझना कि सभी SQL सर्वर ऑब्जेक्ट में उपयोगकर्ता के प्रभावी अधिकारों में से प्रत्येक के लिए क्या और किसकी पहुंच है। जिस टूल के साथ हम जा रहे हैं, वह सभी SQL सर्वर ऑब्जेक्ट्स पर अधिकारों को देखने और देखने में सक्षम है और हम जल्द ही इसका एक स्क्रीनशॉट देखेंगे। हम उपयोगकर्ता, समूह और भूमिका अनुमतियों की रिपोर्ट और विश्लेषण भी करते हैं। अन्य विशेषताओं में से एक यह है कि हम विस्तृत सुरक्षा जोखिम रिपोर्ट देते हैं। हमारे पास आउट-ऑफ़-द-बॉक्स रिपोर्ट हैं और आपके पास लचीले पैरामीटर हैं, ताकि आप रिपोर्ट के प्रकार बना सकें और डेटा को प्रदर्शित कर सकें, जिसके लिए ऑडिटर, सुरक्षा अधिकारियों और प्रबंधकों की आवश्यकता होती है।
हम समय के साथ सुरक्षा, जोखिम और कॉन्फ़िगरेशन परिवर्तनों की तुलना भी कर सकते हैं, जैसा कि मैंने उल्लेख किया है। और वो स्नैपशॉट के साथ हैं। और उन स्नैपशॉट को कॉन्फ़िगर किया जा सकता है जहां तक आप उन्हें करना चाहते हैं - मासिक, त्रैमासिक, वार्षिक - जो उपकरण के भीतर निर्धारित किया जा सकता है। और, फिर से, आप यह देखने के लिए तुलना कर सकते हैं कि क्या बदल गया है और इसके बारे में क्या अच्छा है यदि आपने उल्लंघन किया था तो आप इसे ठीक करने के बाद स्नैपशॉट बना सकते थे, तुलना करें, और आप देखेंगे कि एक उच्च-स्तर था पिछले स्नैपशॉट के साथ जुड़ा जोखिम और फिर रिपोर्ट, आप वास्तव में अगले स्नैपशॉट में देखने के बाद यह सही हो गया था कि यह अब एक मुद्दा नहीं था। यह एक अच्छा ऑडिटिंग टूल है जिसे आप ऑडिटर को दे सकते हैं, एक रिपोर्ट जिसे आप ऑडिटर दे सकते हैं और कह सकते हैं, "देखो, हमें यह जोखिम था, हमने इसे कम कर दिया, और अब यह कोई जोखिम नहीं है।" और, फिर, मैं स्नैपशॉट के साथ उल्लेख किया गया है जब आप कॉन्फ़िगरेशन बदलते हैं, और यदि कॉन्फ़िगरेशन बदल जाता है, और पता लगाया जा सकता है, तो यह एक नया जोखिम पेश करता है, आपको इसके बारे में भी सूचित किया जाएगा।
हमें अपने SQL सर्वर आर्किटेक्चर पर सिक्योर के साथ कुछ प्रश्न मिलते हैं, और मैं यहां "" कलेक्शन सर्विस "नामक स्लाइड पर सुधार करना चाहता हूं। हमारे पास कोई सेवा नहीं है, यह" प्रबंधन और संग्रह सर्वर "होना चाहिए। “हमारे पास हमारा कंसोल और फिर हमारा प्रबंधन और संग्रह सर्वर है और हमारे पास एक एजेंट रहित कैप्चर है जो पंजीकृत किए गए डेटाबेसों में जाएगा और नौकरियों के माध्यम से डेटा एकत्र करेगा। और हमारे पास SQL सर्वर रिपॉजिटरी है और हम रिपोर्ट को शेड्यूल करने और साथ ही कस्टम रिपोर्ट बनाने के लिए SQL सर्वर रिपोर्टिंग सेवाओं के साथ काम करते हैं। अब एक सिक्योरिटी रिपोर्ट कार्ड पर यह पहली स्क्रीन है जिसे आप एसक्यूएल सिक्योर शुरू होने पर देखेंगे। आपको आसानी से पता चल जाएगा कि आपके पास कौन सी महत्वपूर्ण वस्तुएं हैं जो उसने खोजी हैं। और, फिर से, हमारे पास उच्च, मध्यम और चढ़ाव हैं। और फिर हमारे पास ऐसी नीतियां भी हैं जो विशेष सुरक्षा जांच के साथ हैं। हमारे पास एक HIPAA टेम्पलेट है; हमारे पास IDERA सुरक्षा स्तर 1, 2 और 3 टेम्पलेट हैं; हमारे पास PCI दिशानिर्देश हैं। ये सभी टेम्प्लेट हैं जिनका आप उपयोग कर सकते हैं और फिर से, आप अपने स्वयं के नियंत्रणों के आधार पर अपना स्वयं का टेम्प्लेट भी बना सकते हैं। और, फिर से, वे परिवर्तनीय हैं। आप अपना खुद का बना सकते हैं। मौजूदा टेम्प्लेट में से किसी को बेसलाइन के रूप में इस्तेमाल किया जा सकता है, फिर आप जैसे चाहें उन्हें संशोधित कर सकते हैं।
एक अच्छी बात यह है कि किसकी अनुमति है। और यहां इस स्क्रीन के साथ हम यह देखने में सक्षम हो सकते हैं कि SQL सर्वर लॉगइन एंटरप्राइज़ पर क्या कर रहे हैं और आप ऑब्जेक्ट स्तर में सर्वर डेटाबेस पर सभी असाइन किए गए और प्रभावी अधिकारों और अनुमतियों को देखने में सक्षम हो सकते हैं। हम यहां करते हैं। आप फिर से, डेटाबेस या सर्वर का चयन करने में सक्षम होंगे, और फिर SQL सर्वर अनुमतियों की रिपोर्ट को खींचने में सक्षम होंगे। तो यह देखने में सक्षम है कि किसकी क्या पहुंच है। एक और अच्छी विशेषता यह है कि आप सुरक्षा सेटिंग्स की तुलना करने में सक्षम होने जा रहे हैं। मान लें कि आपके पास मानक सेटिंग्स हैं जिन्हें आपके उद्यम में सेट करने की आवश्यकता है। आप तब अपने सभी सर्वरों की तुलना करने में सक्षम होंगे और देखेंगे कि आपके उद्यम में अन्य सर्वरों में कौन सी सेटिंग्स निर्धारित की गई हैं।
फिर से, नीति टेम्पलेट, ये कुछ टेम्पलेट हैं जो हमारे पास हैं। आप मूल रूप से, फिर से, उनमें से एक का उपयोग करें, अपना खुद का बनाएं। आप अपनी स्वयं की नीति बना सकते हैं, जैसा कि यहाँ देखा गया है। किसी एक टेम्पलेट का उपयोग करें और आप आवश्यकतानुसार उन्हें संशोधित कर सकते हैं। हम SQL सर्वर प्रभावी अधिकार भी देख सकते हैं। यह सत्यापित करेगा और साबित करेगा कि उपयोगकर्ता और भूमिकाओं के लिए अनुमतियाँ सही ढंग से निर्धारित हैं। दोबारा, आप वहां जा सकते हैं और देख सकते हैं और देख सकते हैं और सत्यापित कर सकते हैं कि अनुमति उपयोगकर्ताओं और भूमिकाओं के लिए सही ढंग से सेट की गई है। फिर SQL सर्वर ऑब्जेक्ट एक्सेस राइट्स के साथ आप तब SQL सर्वर ऑब्जेक्ट ट्री को सर्वर-लेवल डाउन से ऑब्जेक्ट-लेवल रोल्स और एंडपॉइंट्स में ब्राउज़ और विश्लेषण कर सकते हैं। और आप तुरंत ऑब्जेक्ट स्तर पर असाइन किए गए और प्रभावी विरासत में मिली अनुमतियों और सुरक्षा-संबंधित गुणों को देख सकते हैं। यह आपको उन एक्सेस का एक अच्छा दृश्य देता है जो आपके डेटाबेस ऑब्जेक्ट्स पर हैं और जिनके पास एक्सेस है।
हमारे पास, फिर से, हमारी रिपोर्टें हैं। वे डिब्बाबंद रिपोर्ट कर रहे हैं, हमारे पास कई हैं जिन्हें आप अपनी रिपोर्टिंग करने के लिए चुन सकते हैं। और इनमें से कई को अनुकूलित किया जा सकता है या आप अपने ग्राहक रिपोर्ट कर सकते हैं और रिपोर्टिंग सेवाओं के साथ संयोजन के रूप में उपयोग कर सकते हैं और वहां से अपनी खुद की कस्टम रिपोर्ट बनाने में सक्षम हो सकते हैं। अब स्नैपशॉट तुलना, यह एक बहुत अच्छी सुविधा है, मुझे लगता है, जहां आप वहां जा सकते हैं और आप अपने स्नैपशॉट की तुलना कर सकते हैं जो आपने लिया है और यह देखने के लिए देखें कि क्या संख्या में कोई अंतर था। क्या कोई ऑब्जेक्ट जोड़े गए हैं, क्या वहाँ अनुमतियाँ बदल गई हैं, कुछ भी जो हम देख सकते हैं कि विभिन्न स्नैपशॉट के बीच क्या परिवर्तन किए गए हैं। कुछ लोग एक मासिक स्तर पर इन पर गौर करेंगे - वे एक मासिक स्नैपशॉट करेंगे और फिर हर महीने एक तुलना करेंगे कि क्या कुछ बदल गया है या नहीं। और अगर ऐसा कुछ नहीं था जिसे बदल दिया जाना चाहिए था, तो कुछ भी जो परिवर्तन नियंत्रण बैठकों में चला गया था, और आप देखते हैं कि कुछ अनुमतियाँ बदल दी गई हैं आप वापस जा सकते हैं देखने के लिए कि क्या हुआ है। यह यहाँ एक बहुत अच्छी सुविधा है जहाँ आप तुलना कर सकते हैं, फिर से, स्नैपशॉट के भीतर ऑडिट की गई हर चीज की।
फिर आपका आकलन तुलना। यह एक और अच्छी सुविधा है जो हमारे पास है जहाँ आप वहां जा सकते हैं और आकलन देख सकते हैं और फिर उनकी तुलना कर सकते हैं और ध्यान दें कि यहाँ तुलना में SA खाता था जो इस हाल के स्नैपशॉट में अक्षम नहीं था जो मैंने किया है - यह अब सही किया गया है। यह एक बहुत अच्छी बात है जहाँ आप यह दिखा सकते हैं कि, ठीक है, हमें कुछ जोखिम था, उन्हें उपकरण द्वारा पहचाना गया था, और अब हमने उन जोखिमों को कम कर दिया है। और, फिर, यह ऑडिटर्स को दिखाने के लिए एक अच्छी रिपोर्ट है कि वास्तव में उन जोखिमों को कम कर दिया गया है और उनका ध्यान रखा गया है।
सारांश में, डेटाबेस सुरक्षा, यह महत्वपूर्ण है, और मुझे लगता है कि हम कई बार बाहरी स्रोतों से आने वाले उल्लंघनों को देख रहे हैं और कभी-कभी हम वास्तव में आंतरिक उल्लंघनों पर बहुत अधिक ध्यान नहीं देते हैं और यह कुछ चीजें हैं जो हम करते हैं के लिए बाहर देखने की जरूरत है। और सिक्योर आपको यह सुनिश्चित करने में मदद करेगा कि कोई विशेषाधिकार नहीं हैं जिन्हें असाइन करने की आवश्यकता नहीं है, आप जानते हैं, सुनिश्चित करें कि ये सभी सुरक्षा खातों में ठीक से सेट हैं। सुनिश्चित करें कि आपके SA खातों में पासवर्ड हैं। जहाँ तक आपकी एन्क्रिप्शन कुंजियाँ हैं, क्या वे जाँच की गई हैं, क्या वे निर्यात की गई हैं? बस कई अलग-अलग चीजें हैं जिनकी हम जांच करते हैं और हम आपको इस तथ्य से सचेत करेंगे कि अगर कोई मुद्दा था और यह किस स्तर पर है। हमें एक उपकरण की आवश्यकता है, बहुत से पेशेवरों को डेटाबेस एक्सेस अनुमतियों को प्रबंधित और मॉनिटर करने के लिए टूल की आवश्यकता होती है, और हम वास्तव में डेटाबेस अनुमतियों को नियंत्रित करने और एक्सेस गतिविधियों को ट्रैक करने और ब्रीच जोखिम को कम करने के लिए एक व्यापक क्षमता प्रदान करने पर ध्यान देते हैं।
अब हमारे सुरक्षा उत्पादों का एक और हिस्सा एक वेबएक्स है जो कवर किया गया था और उस प्रस्तुति का हिस्सा था जिसके बारे में हमने पहले बात की थी। आप जानते हैं कि आपके पास कौन, क्या है, और यह हमारा SQL कंप्लायंस मैनेजर टूल क्या है। और उस उपकरण पर एक रिकॉर्ड किया गया WebEx है और यह वास्तव में आपको मॉनिटर करने की अनुमति देगा कि कौन से टेबल, कौन से कॉलम को एक्सेस कर रहा है, आप उन टेबल की पहचान कर सकते हैं जिनमें संवेदनशील कॉलम हैं, जहां तक जन्म की तारीख, रोगी की जानकारी, उन प्रकार के टेबल, और वास्तव में देखें कि उस जानकारी तक किसकी पहुँच है और यदि इसे एक्सेस किया जा रहा है।
एरिक कवानघ: ठीक है, तो चलो सवालों में गोता लगाता हूं, मुझे लगता है, यहां। हो सकता है, डीज़, मैं इसे पहले आपको फेंक दूंगा, और रॉबिन, जैसा कि आप कर सकते हैं, झंकार।
Dez Blanchfield: हाँ, मुझे 2 nd और 3 rd स्लाइड से सवाल पूछने में खुजली हो रही है। इस उपकरण के लिए आप जो विशिष्ट उपयोग का मामला देख रहे हैं? सबसे आम प्रकार के उपयोगकर्ता कौन से हैं जिन्हें आप देख रहे हैं कि वे इसे अपना रहे हैं और इसे खेल में डाल रहे हैं? और उस की पीठ पर, विशिष्ट, प्रकार, केस मॉडल का उपयोग करें, वे इस बारे में कैसे जा रहे हैं? इसे कैसे लागू किया जा रहा है?
इग्नासियो रोड्रिग्ज: ठीक है, हमारे पास जो विशिष्ट उपयोग का मामला है वह डीबीए हैं जिन्हें डेटाबेस के लिए अभिगम नियंत्रण की जिम्मेदारी सौंपी गई है, जो सुनिश्चित कर रहे हैं कि सभी अनुमतियों को निर्धारित करने के लिए जिस तरह से उन्हें ट्रैक करने की आवश्यकता है, और उनके मानकों को निर्धारित किया जाए। जगह में। तुम्हें पता है, ये कुछ उपयोगकर्ता खाते केवल इन विशेष तालिकाओं के लिए उपयोग कर सकते हैं, वगैरह। और वे इसके साथ क्या कर रहे हैं यह सुनिश्चित कर रहा है कि उन मानकों को निर्धारित किया गया है और उन मानकों को समय के माध्यम से नहीं बदला गया है। और यह उन बड़ी चीजों में से एक है जिसका उपयोग लोग ट्रैक करने और पहचानने के लिए कर रहे हैं यदि कोई बदलाव किया जा रहा है जिसके बारे में पता नहीं है।
Dez Blanchfield: क्योंकि वे डरावने हैं, वे नहीं हैं? क्या आपके पास ऐसा हो सकता है, मान लें कि, एक रणनीति दस्तावेज़, आपने ऐसी नीतियाँ प्राप्त कर ली हैं, जिन्हें आपने अनुपालन कर लिया है, और उसके नीचे आपको अनुपालन और शासन मिल गया है, और आप नीतियों का पालन करते हैं, आप शासन का पालन करते हैं और इसे एक हरी बत्ती मिलती है। और फिर अचानक एक महीने बाद किसी ने एक बदलाव किया और किसी कारण से यह उसी परिवर्तन समीक्षा बोर्ड या परिवर्तन प्रक्रिया से नहीं गुजरता है, या जो कुछ भी हो सकता है, या इस परियोजना को अभी आगे बढ़ाया गया है और कोई नहीं जानता है।
क्या आपको कोई उदाहरण मिला है जिसे आप साझा कर सकते हैं - और मुझे पता है, जाहिर है, यह हमेशा ऐसा कुछ नहीं है जिसे आप साझा करते हैं क्योंकि ग्राहक इसके बारे में थोड़ा चिंतित हैं, इसलिए हमें आवश्यक रूप से नाम नहीं बताएंगे - लेकिन हमें एक उदाहरण दें जहां आप हैं यह वास्तव में देखा हो सकता है, आप जानते हैं, एक संगठन ने इसे साकार करने के बिना रखा है और उन्होंने बस कुछ पाया और महसूस किया, "वाह, यह दस बार लायक था, हमने बस कुछ ऐसा पाया जिसे हमने महसूस नहीं किया।" कोई भी उदाहरण जहां लोगों ने इसे लागू किया है और फिर पता चला है कि उनके पास एक बड़ी समस्या थी या एक वास्तविक समस्या थी जो उन्हें एहसास नहीं था कि उनके पास है और फिर आप क्रिसमस कार्ड सूची में तुरंत जुड़ जाते हैं?
इग्नासियो रोड्रिग्ज: वैसे मुझे लगता है कि सबसे बड़ी चीज जो हमने देखी है या बताई है, वह वही है जिसका मैंने अभी तक उल्लेख किया है, जहां तक किसी की पहुंच थी। वहाँ डेवलपर्स हैं और जब वे उपकरण लागू करते हैं तो उन्हें वास्तव में यह एहसास नहीं होता है कि इन डेवलपर्स की एक्स राशि डेटाबेस में बहुत अधिक पहुंच थी और विशेष वस्तुओं तक पहुंच थी। और एक और बात केवल-पढ़ने के लिए है। कुछ रीड-ओनली खाते थे जो उनके पास थे, यह पता लगाने के लिए कि ये रीड-ओनली अकाउंट वास्तव में हैं, डेटा डाला था और विशेषाधिकारों को भी हटा दिया था। यहीं हमने उपयोगकर्ताओं को कुछ लाभ देखा है। बड़ी बात, फिर से, हमने सुना है कि लोग पसंद कर रहे हैं, फिर से कर रहे हैं, परिवर्तनों को ट्रैक करें और सुनिश्चित करें कि कुछ भी उन्हें अंधा नहीं करता है।
Dez Blanchfield: जैसा कि रॉबिन ने प्रकाश डाला है, आपको ऐसे परिदृश्य मिले हैं जिनके बारे में लोग अक्सर नहीं सोचते हैं, है ना? जब हम आगे देख रहे हैं, तो हमें लगता है कि आप जानते हैं, अगर हम सब कुछ नियमों के अनुसार करते हैं, और मुझे लगता है, और मुझे यकीन है कि आप इसे भी देखेंगे - मुझे बताएं कि क्या आप इससे सहमत नहीं हैं - संगठन इतने पर ध्यान केंद्रित करते हैं विकासशील रणनीति और नीति और अनुपालन और प्रशासन और KPI और रिपोर्टिंग पर भारी, कि वे अक्सर उस पर इतना तय कर लेते हैं, वे आउटलेयर के बारे में नहीं सोचते हैं। और रॉबिन के पास वास्तव में एक महान उदाहरण था जो मैं उससे चोरी करने जा रहा हूं - माफ करना रॉबिन - लेकिन उदाहरण दूसरी बार है जहां डेटाबेस की एक लाइव कॉपी, एक स्नैपशॉट और इसे विकास परीक्षण में डाल दिया है, है ना? हम देव करते हैं, हम परीक्षण करते हैं, हम यूएटी करते हैं, हम सिस्टम एकीकरण करते हैं, उस सभी प्रकार के सामान और फिर हम अब अनुपालन का एक गुच्छा करते हैं। अक्सर देव परीक्षण, यूएटी, एसआईटी वास्तव में इस पर एक अनुपालन घटक है जहां हम यह सुनिश्चित करते हैं कि यह सब स्वस्थ और सुरक्षित है, लेकिन हर कोई ऐसा नहीं करता है। यह उदाहरण है कि रॉबिन ने डेटाबेस की एक जीवित प्रति की प्रतिलिपि के साथ विकास पर्यावरण के साथ एक परीक्षण में डाल दिया, यह देखने के लिए कि क्या यह अभी भी लाइव डेटा के साथ काम करता है। बहुत कम कंपनियां बैठती हैं और सोचती हैं, "क्या ऐसा होता है या क्या यह संभव है?" वे हमेशा उत्पादन सामान पर तय किए जाते हैं। कार्यान्वयन यात्रा कैसी दिखती है? क्या हम दिनों, हफ्तों, महीनों के बारे में बात कर रहे हैं? एक औसत-आकार के संगठन के लिए एक नियमित परिनियोजन कैसा दिखता है?
इग्नासियो रोड्रिगेज: दिन। यह भी दिन नहीं है, मेरा मतलब है, यह सिर्फ कुछ दिनों का है। हमने अभी एक सुविधा जोड़ी है जहाँ हम कई सर्वरों को पंजीकृत करने में सक्षम हैं। टूल में वहाँ जाने के बजाय, और कहें कि आपके पास 150 सर्वर थे, आपको व्यक्तिगत रूप से वहाँ जाना था और सर्वर को पंजीकृत करना था - अब आपको ऐसा करने की आवश्यकता नहीं है। एक CSV फ़ाइल है जिसे आप बनाते हैं और हम इसे स्वचालित रूप से हटा देते हैं और सुरक्षा चिंताओं के कारण हम इसे वहां नहीं रखते हैं। लेकिन यह एक और बात है जिस पर हमें विचार करना है, क्या आप उपयोगकर्ता नाम / पासवर्ड के साथ एक सीएसवी फ़ाइल वहाँ रख सकते हैं।
हम जो कुछ भी करते हैं वह स्वचालित रूप से होता है, क्या हम इसे फिर से हटा सकते हैं, लेकिन यह आपके पास एक विकल्प है। यदि आप व्यक्तिगत रूप से वहां जाना चाहते हैं और उन्हें पंजीकृत करना चाहते हैं और उस जोखिम को नहीं उठाना चाहते हैं, तो आप ऐसा कर सकते हैं। लेकिन यदि आप एक CSV फ़ाइल का उपयोग करना चाहते हैं, तो इसे उस स्थान पर रखें जो सुरक्षित है, उस स्थान पर एप्लिकेशन को इंगित करें, यह उस CSV फ़ाइल को चलाएगा और फिर एक बार यह फ़ाइल स्वचालित रूप से सेट हो जाएगी। और यह जाकर सुनिश्चित कर लेगा और जाँच ले कि फ़ाइल निकाल दी गई है। रेत में सबसे लंबा पोल जो हमारे पास अभी तक लागू था, वास्तविक सर्वर का पंजीकरण था।
Dez Blanchfield: ठीक है। अब आपने रिपोर्टों के बारे में बात की। क्या आप हमें कुछ और विस्तार और जानकारी दे सकते हैं, जो कि सिर्फ आसपास रिपोर्टिंग के रूप में पूर्व-बंडल के रूप में आता है, मुझे लगता है, इसमें क्या है और इस पर रिपोर्टिंग करने का खोज घटक, राष्ट्र की वर्तमान स्थिति, क्या पूर्व आता है निर्मित और पूर्व बेक किया हुआ जहां तक अनुपालन और सुरक्षा की वर्तमान स्थिति के आसपास की रिपोर्ट है, और फिर वे कितनी आसानी से विस्तार योग्य हैं? हम उन पर कैसे निर्माण करते हैं?
इग्नासियो रोड्रिगेज: ठीक है। हमारे पास मौजूद कुछ रिपोर्टें, हमारे पास ऐसी रिपोर्टें हैं जो क्रॉस-सर्वर, लॉगिन चेक, डेटा संग्रह फ़िल्टर, गतिविधि इतिहास और फिर जोखिम मूल्यांकन रिपोर्ट से संबंधित हैं। और किसी भी संदिग्ध विंडोज खाते। यहाँ कई, कई हैं। संदिग्ध SQL लॉगिन, सर्वर लॉगिन और उपयोगकर्ता मैपिंग, उपयोगकर्ता अनुमतियाँ, सभी उपयोगकर्ता अनुमतियाँ, सर्वर भूमिकाएँ, डेटाबेस भूमिकाएँ, हमारे पास कुछ मात्रा में भेद्यता या मिश्रित-मोड प्रमाणीकरण रिपोर्ट, अतिथि सक्षम डेटाबेस, XPSs के माध्यम से OS भेद्यता, विस्तारित प्रक्रियाएँ, लॉगिन और फिर असुरक्षित निश्चित भूमिकाएँ। वे कुछ रिपोर्टें हैं जो हमारे पास हैं।
Dez Blanchfield: और आपने उल्लेख किया है कि वे काफी महत्वपूर्ण हैं और उनमें से कई हैं, जो एक तार्किक बात है। मेरे लिए इसे दर्जी बनाना कितना आसान है? यदि मैं एक रिपोर्ट चलाता हूं और मुझे यह बहुत बड़ा ग्राफ मिलता है, लेकिन मैं कुछ ऐसे टुकड़े निकालना चाहता हूं, जो वास्तव में मुझे पसंद नहीं हैं और कुछ अन्य विशेषताओं को जोड़ना चाहते हैं, क्या एक रिपोर्ट लेखक है, क्या कोई इंटरफ़ेस है और उपकरण को कॉन्फ़िगर करने और दर्जी या संभावित रूप से खरोंच से एक और रिपोर्ट बनाने के लिए?
इग्नासियो रोड्रिग्ज: हम उपयोगकर्ताओं को ऐसा करने के लिए Microsoft SQL रिपोर्ट सेवाओं का उपयोग करने के लिए निर्देशित करेंगे और हमारे पास कई ग्राहक हैं जो वास्तव में कुछ रिपोर्टें लेंगे, जब चाहें तब उन्हें अनुकूलित और शेड्यूल करेंगे। इनमें से कुछ लोग इन रिपोर्टों को मासिक आधार या साप्ताहिक आधार पर देखना चाहते हैं और वे जो जानकारी हमारे पास है, उसे रिपोर्टिंग सेवाओं में ले जाएंगे और फिर वहाँ से ऐसा करेंगे। हमारे पास हमारे उपकरण के साथ एकीकृत एक रिपोर्ट लेखक नहीं है, लेकिन हम रिपोर्टिंग सेवाओं का लाभ उठाते हैं।
Dez Blanchfield: मुझे लगता है कि इन उपकरणों के साथ सबसे बड़ी चुनौतियों में से एक है। आप वहां पहुंच सकते हैं और सामान पा सकते हैं, लेकिन फिर आपको इसे बाहर निकालने में सक्षम होने की आवश्यकता है, इसे उन लोगों को रिपोर्ट करें जो जरूरी नहीं हैं डीबीए और सिस्टम इंजीनियर। मेरे अनुभव के बारे में एक दिलचस्प भूमिका है और वह यह है कि, आप जानते हैं, जोखिम अधिकारी हमेशा संगठनों में रहे हैं और वे मुख्य रूप से आसपास रहे हैं और जोखिमों की एक पूरी तरह से अलग श्रेणी है जो हमने हाल ही में देखी है, जबकि अब डेटा के साथ उल्लंघनों सिर्फ एक चीज नहीं बल्कि एक वास्तविक सुनामी बनते जा रहे हैं, सीआरओ जा रहा है, आप जानते हैं, एचआर और अनुपालन और व्यावसायिक स्वास्थ्य और सुरक्षा-प्रकार का ध्यान अब साइबर जोखिम पर केंद्रित है। आप जानते हैं, उल्लंघन, हैकिंग, सुरक्षा - बहुत अधिक तकनीकी। और यह दिलचस्प हो रहा है क्योंकि बहुत सारे सीआरओ हैं जो एक एमबीए वंशावली से आते हैं और एक तकनीकी वंशावली नहीं हैं, इसलिए वे अपने सिर को चारों ओर ले जा रहे हैं, इस तरह, साइबर जोखिम के बीच संक्रमण के लिए इसका क्या मतलब है सीआरओ, और आगे। लेकिन बड़ी चीज जो वे चाहते हैं वह सिर्फ दृश्यता रिपोर्टिंग है।
क्या आप अनुपालन के संबंध में स्थिति के बारे में हमें कुछ बता सकते हैं? स्पष्ट रूप से इसकी एक बड़ी ताकत यह है कि आप देख सकते हैं कि क्या चल रहा है, आप इसकी निगरानी कर सकते हैं, आप सीख सकते हैं, आप इस पर रिपोर्ट कर सकते हैं, आप इस पर प्रतिक्रिया कर सकते हैं, आप कुछ चीजों की पूर्व सूचना भी दे सकते हैं। अधिभार चुनौती शासन अनुपालन है। क्या इसके कुछ प्रमुख हिस्से ऐसे हैं जो जानबूझकर मौजूदा अनुपालन आवश्यकताओं या पीसीआई जैसे उद्योग अनुपालन का लिंक देते हैं, या वर्तमान में ऐसा कुछ है, या क्या यह ऐसा कुछ है जो रोड मैप में कमी आ रही है? क्या यह, COBIT, ITIL और ISO मानकों की पसंद के ढांचे में फिट बैठता है? यदि हम इस उपकरण को तैनात करते हैं, तो क्या यह हमें उन चौखटों में फिट होने वाले चेक और बैलेंस की एक श्रृंखला प्रदान करता है, या हम उन रूपरेखाओं में इसका निर्माण कैसे करते हैं? मन में उन चीजों के साथ स्थिति कहां है?
इग्नासियो रोड्रिगेज: हां, ऐसे टेम्प्लेट हैं जो हमारे पास हैं कि हम टूल के साथ वितरित करते हैं। और हम फिर से उस बिंदु पर पहुंच रहे हैं, जहां हम अपने टेम्प्लेट का पुनर्मूल्यांकन कर रहे हैं और हम जोड़ने जा रहे हैं और जल्द ही आने वाले हैं। FISMA, FINRA, कुछ अतिरिक्त टेम्पलेट जो हमारे पास हैं, और हम आम तौर पर टेम्प्लेट की समीक्षा करते हैं और यह देखने के लिए देखते हैं कि क्या बदल गया है, हमें क्या जोड़ने की आवश्यकता है? और हम वास्तव में उस बिंदु पर पहुंचना चाहते हैं, जहां आप जानते हैं, सुरक्षा आवश्यकताओं में काफी बदलाव आया है, इसलिए हम इस विस्तार को मक्खी पर बनाने का एक तरीका देख रहे हैं। यह कुछ ऐसा है जिसे हम भविष्य में देख रहे हैं।
लेकिन अभी हम शायद टेम्प्लेट बनाने और एक वेबसाइट से टेम्प्लेट प्राप्त करने में सक्षम होने के लिए देख रहे हैं; आप उन्हें डाउनलोड कर सकते हैं। और इसी तरह हम इसे संभालते हैं - हम उन्हें टेम्पलेट्स के माध्यम से संभालते हैं, और हम भविष्य में ऐसे तरीकों की तलाश कर रहे हैं जो आसानी से विस्तार और जल्दी से बना सकें। क्योंकि जब मैं ऑडिटिंग करता था, तो आप जानते हैं, चीजें बदल जाती हैं। एक ऑडिटर एक महीने के लिए आएगा और अगले महीने वे कुछ अलग देखना चाहते हैं। तब यह उपकरण के साथ चुनौतियों में से एक है, उन बदलावों को प्राप्त करने में सक्षम है और आपको जो चाहिए, और वह है, इस तरह का, जहां हम प्राप्त करना चाहते हैं।
डीज़ ब्लांचफील्ड: मेरा अनुमान है कि एक ऑडिटर की चुनौती नियमित रूप से इस तथ्य के प्रकाश में बदलती है कि दुनिया तेजी से आगे बढ़ रही है। और एक बार ऑडिट के दृष्टिकोण से आवश्यकता, मेरे अनुभव में, बस शुद्ध वाणिज्यिक अनुपालन होगा, और फिर यह तकनीकी अनुपालन बन गया और अब यह परिचालन अनुपालन है। और ये सभी अन्य हैं, आप जानते हैं, हर दिन कोई व्यक्ति बदल जाता है और वे आपको आईएसओ 9006 और 9002 ऑपरेशन जैसी किसी चीज पर माप नहीं रहे हैं, वे सभी प्रकार की चीजों को देख रहे हैं। और मैं देख रहा हूं कि अब 38, 000 श्रृंखला आईएसओ में भी एक बड़ी चीज बन रही है। मुझे लगता है कि बस अधिक से अधिक चुनौतीपूर्ण हो रहा है। मैं रॉबिन को सौंपने वाला हूँ क्योंकि मैं बैंडविड्थ हॉगिंग कर रहा हूँ।
धन्यवाद, यह देखने के लिए बहुत बहुत धन्यवाद, और मैं निश्चित रूप से इसे जानने के लिए अधिक समय बिताने जा रहा हूं क्योंकि मुझे वास्तव में पता नहीं चला कि यह वास्तव में काफी गहराई में था। तो, धन्यवाद, इग्नासियो, मैं अब रॉबिन को सौंपने जा रहा हूं। एक बेहतरीन प्रस्तुति, धन्यवाद। रॉबिन, आप के पार।
डॉ। रॉबिन ब्लोर: ठीक है इग्गी, मैं तुम्हें इग्गी, अगर यह ठीक है, बुला रहा हूँ। मुझे क्या प्रतीत हो रहा है, और मुझे लगता है कि कुछ चीजों की रोशनी में डीज़ ने अपनी प्रस्तुति में कहा, वहाँ एक भयानक बहुत चल रहा है कि आपको कहना होगा कि लोग वास्तव में डेटा की देखभाल नहीं कर रहे हैं। तुम्हें पता है, खासकर जब यह इस तथ्य के लिए नीचे आता है कि आप केवल हिमशैल का हिस्सा देखते हैं और वहाँ शायद बहुत कुछ है जो किसी की रिपोर्टिंग नहीं है। मैं आपके परिप्रेक्ष्य में दिलचस्पी रखता हूं कि आप कितने ग्राहकों से परिचित हैं, या संभावित ग्राहक जिन्हें आप जानते हैं, आपके पास सुरक्षा का स्तर है, आप इस तरह की पेशकश कर रहे हैं, न केवल लेकिन यह भी अपने डेटा का उपयोग प्रौद्योगिकी? मेरा मतलब है कि खतरे से निपटने के लिए कौन सही तरीके से सुसज्जित है, क्या यह सवाल है?
इग्नासियो रोड्रिगेज: कौन ठीक से सुसज्जित है? मेरा मतलब है, बहुत सारे ग्राहक जिन्हें हमने वास्तव में किसी भी प्रकार के ऑडिट को संबोधित नहीं किया है, आप जानते हैं। उनके पास कुछ था, लेकिन बड़ी बात यह है कि इसे बनाए रखने की कोशिश कर रहा है और इसे बनाए रखने की कोशिश कर रहा है। हमने जो बड़ा मुद्दा देखा है वह है - और यहां तक कि मेरे पास जब मैं अनुपालन कर रहा था, वह है - यदि आपने अपनी स्क्रिप्टें चलाईं, तो आप हर तिमाही में एक बार ऐसा करेंगे जब ऑडिटर आएंगे और आपको एक समस्या मिली है। ठीक है, लगता है कि, यह पहले से ही बहुत देर हो चुकी है, ऑडिटिंग है, ऑडिटर हैं, वे अपनी रिपोर्ट चाहते हैं, वे इसे चिह्नित करते हैं। और फिर या तो हमें एक निशान मिलता है या हमें बताया गया था, अरे, हमें इन मुद्दों को ठीक करने की आवश्यकता है, और यही वह जगह है जहां यह आएगा। यह एक सक्रिय प्रकार की चीज होगी जहां आप अपना जोखिम पा सकते हैं और जोखिम को कम कर सकते हैं। हमारे ग्राहकों के लिए क्या देख रहे हैं। ऑडिटरों के अंदर आने पर और प्रतिक्रियाशील होने के कारण प्रतिक्रियाशील होने के रूप में कुछ हद तक सक्रिय होने का एक तरीका यह है कि वे कहां नहीं हैं, अन्य लोगों के पास प्रशासनिक विशेषाधिकार हैं और उनके पास नहीं होना चाहिए, उन प्रकार की चीजें। और यही वह जगह है जहाँ से हमने बहुत से फीडबैक देखे हैं, कि लोग टूल को पसंद कर रहे हैं और इसका उपयोग कर रहे हैं।
डॉ। रॉबिन ब्लर: ठीक है, एक और प्रश्न मुझे मिला है जो एक अर्थ में, एक स्पष्ट प्रश्न भी है, लेकिन मैं बस उत्सुक हूं। हैक के चक्कर में वास्तव में कितने लोग आपके पास आते हैं? जहां, आप जानते हैं, आप व्यवसाय प्राप्त कर रहे हैं, इसलिए नहीं कि वे अपने वातावरण को देखते हैं और यह पता लगाया है कि उन्हें बहुत अधिक संगठित तरीके से सुरक्षित करने की आवश्यकता है, लेकिन वास्तव में आप केवल इसलिए हैं क्योंकि वे पहले से ही कुछ पीड़ित हैं दर्द।
इग्नासियो रॉड्रिग्ज: मेरे समय में यहां आईडीएआरए में मैंने एक नहीं देखा। आपके साथ ईमानदार होने के लिए, अधिकांश बातचीत जो मैंने ग्राहकों के साथ की है, जो कि मेरे साथ जुड़ी हुई हैं, आगे देख रहे हैं और ऑडिटिंग शुरू करने की कोशिश कर रहे हैं और विशेषाधिकारों, आदि को देखना शुरू कर दिया है। जैसा मैंने कहा, मेरे पास खुद है, यहां मेरे समय में अनुभव नहीं किया है, कि हमारे पास कोई भी व्यक्ति है जो पोस्ट-ब्रीच है जो मुझे पता है।
डॉ। रॉबिन ब्लोर: ओह, यह दिलचस्प है। मैंने सोचा होगा कि कम से कम कुछ तो रहा होगा। मैं वास्तव में इसे देख रहा हूं, लेकिन इसके साथ ही, उन सभी जटिलताओं को भी जोड़ रहा हूं जो वास्तव में हर तरह से और आपके द्वारा की जाने वाली प्रत्येक गतिविधि में डेटा को पूरे उद्यम में सुरक्षित बना रही हैं। क्या आप लोगों की सहायता के लिए सीधे परामर्श प्रदान करते हैं? मेरा मतलब है, यह स्पष्ट है कि आप उपकरण खरीद सकते हैं, लेकिन मेरे अनुभव में, अक्सर लोग परिष्कृत उपकरण खरीदते हैं और उन्हें बहुत बुरी तरह से उपयोग करते हैं। क्या आप विशिष्ट परामर्श प्रदान करते हैं - क्या करना है, किसे प्रशिक्षित करना है और इस तरह की चीजें?
इग्नासियो रोड्रिग्ज: ऐसी कुछ सेवाएं हैं, जिनका आप समर्थन सेवाओं के रूप में कर सकते हैं, जो कुछ को होने देंगे। लेकिन जहां तक कंसल्टेंसी की बात है, तो हम कोई कंसल्टेंसी सर्विस नहीं देते, लेकिन ट्रेनिंग देते हैं, आप जानते हैं कि इस तरह टूल्स और सामान का इस्तेमाल कैसे किया जाता है, इसका कुछ सपोर्ट लेवल के साथ पता किया जाएगा। लेकिन प्रति से हमारे पास एक सेवा विभाग नहीं है जो बाहर जाता है और वह करता है।
डॉ। रॉबिन ब्लोर: ठीक है। आपके द्वारा कवर किए गए डेटाबेस के संदर्भ में, यहां प्रस्तुतिकरण में सिर्फ Microsoft SQL सर्वर का उल्लेख है - क्या आप Oracle भी करते हैं?
इग्नासियो रोड्रिगेज: हम पहले अनुपालन प्रबंधक के साथ ओरेकल दायरे में विस्तार करने जा रहे हैं। हम इसके साथ एक परियोजना शुरू करने जा रहे हैं, इसलिए हम इसे Oracle में विस्तारित करने जा रहे हैं।
डॉ। रॉबिन ब्लोर: और क्या आप कहीं और जाने की संभावना रखते हैं?
इग्नासियो रोड्रिग्ज: हाँ यह कुछ ऐसा है जिसे हमें रोडमैप पर देखना है और देखना है कि चीजें कैसी हैं, लेकिन यह कुछ ऐसी चीजें हैं जिन पर हम विचार कर रहे हैं, अन्य डेटाबेस प्लेटफॉर्मों पर भी हमें हमला करने की जरूरत है।
डॉ। रॉबिन ब्लोर: मुझे विभाजन में भी दिलचस्पी थी, मुझे इसकी कोई पूर्व-निर्धारित तस्वीर नहीं मिली है, लेकिन तैनाती के संदर्भ में, यह वास्तव में क्लाउड में कितना तैनात किया जा रहा है, या यह लगभग सभी आधारों पर है ?
इग्नासियो रोड्रिग्ज: सभी ऑन-प्रिमाइसेस। हम एज़्योर को कवर करने के लिए सिक्योर के साथ-साथ हाँ को भी देख रहे हैं।
डॉ। रॉबिन ब्लोर: यह अज़ूर सवाल था, आप अभी तक वहां नहीं हैं लेकिन आप वहां जा रहे हैं, यह बहुत मायने रखता है।
इग्नासियो रोड्रिग्ज: हाँ, हम बहुत जल्द वहाँ जा रहे हैं।
डॉ। रॉबिन ब्लर: हाँ, ठीक है, Microsoft से मेरी समझ यह है कि Azure में Microsoft SQL Server के साथ बहुत ही भयानक कार्रवाई है। यह बन रहा है, यदि आप चाहें, तो इसका एक महत्वपूर्ण हिस्सा यह है कि वे क्या पेशकश करते हैं। दूसरा सवाल जो मुझे पसंद आया है - यह तकनीकी नहीं है, यह एक कैसे-कैसे-आप-संलग्न प्रश्न की तरह है - इसके लिए खरीदार कौन है? क्या आपको आईटी विभाग द्वारा संपर्क किया जा रहा है या आप सीएसओ द्वारा संपर्क किया जा रहा है, या क्या यह विभिन्न प्रकार के लोग हैं? जब ऐसा कुछ माना जा रहा है, तो क्या यह पर्यावरण को सुरक्षित रखने के लिए चीजों की एक पूरी श्रृंखला को देखने का हिस्सा है? वहां क्या स्थिति है?
इग्नासियो रोड्रिगेज: यह एक मिश्रण है। हमारे पास सीएसओ हैं, बहुत बार बिक्री टीम बाहर तक पहुंच जाएगी और डीबीए से बात करेगी। और फिर डीबीए, फिर से, कुछ प्रकार की ऑडिटिंग प्रक्रिया नीतियों को जगह पाने के लिए चार्टर्ड किया गया है। और फिर वहां से वे औजारों का मूल्यांकन करेंगे और चेन की रिपोर्ट करेंगे और निर्णय लेंगे कि वे किस हिस्से को खरीदना चाहते हैं। लेकिन यह एक मिश्रित बैग है जो हमसे संपर्क करेगा।
डॉ। रॉबिन ब्लोर: ठीक है। मुझे लगता है कि मैं अब एरिक को वापस सौंप दूंगा क्योंकि हमने घंटे की तरह काम किया है, लेकिन दर्शकों के कुछ सवाल हो सकते हैं। एरिक?
एरिक Kavanagh: हाँ, यकीन है, हम यहाँ अच्छी सामग्री के माध्यम से जला दिया है। यहाँ एक बहुत अच्छा सवाल है, मैं आपको उपस्थित लोगों में से एक पर फेंक दूंगा। वह ब्लॉकचेन के बारे में बात कर रहा है और आप किस बारे में बात कर रहे हैं, और वह पूछ रहा है कि क्या ब्लॉकचेन की पेशकश के समान SQL डेटाबेस के रीड-ओनली हिस्से को माइग्रेट करने का एक संभावित तरीका है? यह एक तरह से कठिन है।
इग्नासियो रॉड्रिग्ज़: हाँ, मैं आपके साथ ईमानदार रहूँगा, मेरे पास इसका जवाब नहीं है।
एरिक Kavanagh: मैं इसे रॉबिन को फेंक दूंगा। मुझे नहीं पता कि आपने वह सवाल सुना, रॉबिन, लेकिन वह सिर्फ पूछ रहा है, क्या एक SQL डेटाबेस के रीड-ओनली हिस्से को माइग्रेट करने का एक तरीका है जो ब्लॉकचेन प्रदान करता है? तुम उसके बारे में क्या सोचते हो?
डॉ। रॉबिन ब्लोर: यह ऐसा है, यदि आप डेटाबेस को स्थानांतरित करने जा रहे हैं तो आप डेटाबेस ट्रैफ़िक को भी स्थानांतरित करने जा रहे हैं। ऐसा करने में शामिल जटिलता का एक पूरा सेट है। लेकिन आप इसे किसी अन्य कारण से नहीं करेंगे, क्योंकि डेटा को अदृश्य बनाया जा सके। क्योंकि एक ब्लॉकचेन का उपयोग करने के लिए धीमी गति से होने वाला है, इसलिए, आप जानते हैं, अगर गति आपकी चीज है - और यह लगभग हमेशा बात है - तो आप इसे नहीं करेंगे। लेकिन अगर आप इसे प्रदान करना चाहते हैं, तो इस तरह के कुछ काम करने वाले कुछ लोगों के लिए यह एन्क्रिप्टेड एक्सेस है, आप इसे कर सकते हैं, लेकिन आपके पास एक बहुत अच्छा कारण होगा। आप इसे छोड़ने की बहुत अधिक संभावना रखते हैं कि यह कहां है और इसे जहां है वहीं सुरक्षित करें।
Dez Blanchfield: हाँ, मैं इस पर सहमत हूँ, अगर मैं जल्दी में वजन कर सकता हूँ। मुझे लगता है कि ब्लॉकचेन की चुनौती, यहां तक कि ब्लॉकचेन जो सार्वजनिक रूप से वहां से बाहर है, इसका उपयोग बिटकॉइन पर किया जाता है - हम इसे पूर्ण पैमाने पर वितरित फैशन में एक मिनट में चार लेन-देन, एक तरह से परे स्केल करना मुश्किल पा रहे हैं। गणना चुनौती के कारण ऐसा नहीं है, हालांकि यह वहां है, पूर्ण नोड्स केवल डेटाबेस वॉल्यूम को पीछे की ओर और आगे की तरफ बढ़ने के लिए कठिन बना रहे हैं और डेटा की मात्रा को कॉपी किया जा रहा है क्योंकि यह अब केवल मेगा नहीं है।
लेकिन यह भी, मुझे लगता है कि मुख्य चुनौती यह है कि आपको एप्लिकेशन के आर्किटेक्चर को बदलने की आवश्यकता है क्योंकि डेटाबेस में यह मुख्य रूप से एक केंद्रीय स्थान पर सब कुछ लाने के बारे में है और आपको उस क्लाइंट-सर्वर प्रकार का मॉडल मिला है। ब्लॉकचेन प्रतिलोम है; यह वितरित प्रतियों के बारे में है। यह कई मायनों में बिटटोरेंट की तरह अधिक है, और यह है कि बहुत सारी प्रतियां एक ही डेटा से बाहर हैं। और, आप जानते हैं, कैसंड्रा और इन-मेमोरी डेटाबेस की तरह, जहां आप इसे वितरित करते हैं और बहुत सारे सर्वर आपको एक वितरित इंडेक्स के समान डेटा की प्रतियां दे सकते हैं। मुझे लगता है कि दो प्रमुख भागों, जैसा कि आपने कहा, रॉबिन है: एक, यदि आप इसे सुरक्षित करना चाहते हैं और सुनिश्चित करें कि यह चोरी या हैक नहीं किया जा सकता है, तो यह बहुत अच्छा है, लेकिन यह जरूरी नहीं है कि अभी भी एक लेन-देन वाला प्लेटफॉर्म हो, और हम बिटकॉइन प्रोजेक्ट के साथ अनुभव किया। लेकिन सिद्धांत रूप में अन्य लोगों ने इसे हल किया है। लेकिन इसके अलावा, वास्तुशिल्प रूप से बहुत सारे एप्लिकेशन वहाँ से ब्लॉकचैन से क्वेरी करना और पढ़ना नहीं जानते हैं।
वहां बहुत काम किया जाना है। लेकिन मुझे लगता है कि प्रश्न के साथ मुख्य बिंदु, बस अगर मैं कर सकता हूं, तो इसे ब्लॉकचेन में स्थानांतरित करने का औचित्य है, मुझे लगता है कि जो सवाल पूछा जा रहा है, क्या आप डेटा को डेटाबेस से बाहर ले जा सकते हैं और इसे किसी रूप में डाल सकते हैं ज्यादा सुरक्षित? और जवाब है, आप इसे डेटाबेस में छोड़ सकते हैं और बस इसे एन्क्रिप्ट कर सकते हैं। अभी बहुत सारी तकनीकें हैं। बस आराम या गति में डेटा एन्क्रिप्ट करें। ऐसा कोई कारण नहीं है कि आप डिस्क पर डेटाबेस और मेमोरी में डेटा एन्क्रिप्ट नहीं कर सकते हैं, जो एक बहुत ही सरल चुनौती है क्योंकि आपके पास एक भी वास्तु परिवर्तन नहीं है। अधिकतर डेटाबेस प्लेटफ़ॉर्म, यह वास्तव में केवल एक विशेषता है जो सक्षम हो जाती है।
एरिक Kavanagh: हाँ, हमारे पास एक आखिरी सवाल है, मैं तुम्हें, Iggy फेंक दूँगा। यह बहुत अच्छा है। SLA और क्षमता नियोजन के दृष्टिकोण से, आपके सिस्टम का उपयोग करके किस प्रकार का कर है? दूसरे शब्दों में, किसी भी अतिरिक्त विलंबता या थ्रूपुट ओवरहेड अगर, एक उत्पादन डेटाबेस सिस्टम में, कोई यहां IDERA की तकनीक को शामिल करना चाहता है?
इग्नासियो रोड्रिग्ज: हम वास्तव में बहुत अधिक प्रभाव नहीं देखते हैं। फिर, यह एक एजेंट रहित उत्पाद है और यह सब निर्भर करता है, जैसा कि मैंने पहले उल्लेख किया था, स्नैपशॉट। सुरक्षित स्नैपशॉट पर आधारित है। यह वहाँ से बाहर चला जाएगा और वास्तव में एक नौकरी का निर्माण करेगा जो आपके द्वारा चुने गए अंतराल के आधार पर वहां जाएगी। या तो आप इसे करना चाहते हैं, फिर से, साप्ताहिक, दैनिक, मासिक। यह वहाँ से बाहर जाएगा और उस काम को अंजाम देगा और फिर इंस्टेंस से डेटा इकट्ठा करेगा। उस बिंदु पर फिर लोड फिर प्रबंधन और संग्रह सेवाओं पर वापस आता है, एक बार जब आप तुलना करना शुरू करते हैं और यह सब, डेटाबेस पर लोड उस में एक हिस्सा नहीं निभाता है। वह सब लोड अब प्रबंधन और संग्रह सर्वर पर है, जहां तक तुलना और सभी रिपोर्टिंग और सभी कि। डेटाबेस को हिट करने का एकमात्र समय हमेशा होता है जब वह वास्तविक स्नैपशॉट कर रहा होता है। और हमारे पास वास्तव में उत्पादन वातावरण के लिए हानिकारक होने की कोई रिपोर्ट नहीं है।
एरिक Kavanagh: हाँ, यह एक बहुत अच्छी बात है कि आप वहाँ है। मूल रूप से आप बस यह निर्धारित कर सकते हैं कि आप कितने स्नैपशॉट लेते हैं, समय का वह अंतराल क्या है, और इस पर निर्भर करता है कि क्या हो सकता है, लेकिन यह बहुत बुद्धिमान वास्तुकला है। वह अच्छी चीज है, यार। खैर आप लोग उन सभी हैकर्स से हमें बचाने की कोशिश कर रहे हैं, जो हम शो के पहले 25 मिनट में बात कर चुके हैं। और वे वहाँ से बाहर हैं, लोग, कोई गलती नहीं करते हैं।
ठीक है, सुनो, हम अपनी साइट insideanalysis.com पर इस वेबकास्ट, अभिलेखागार का लिंक पोस्ट करेंगे। आप SlideShare पर सामान पा सकते हैं, आप इसे YouTube पर पा सकते हैं। और लोग, अच्छी चीजें। अपने समय के लिए धन्यवाद, इग्गी, मैं आपके उपनाम से प्यार करता हूं, वैसे। इसके साथ हम आपको विदाई देंगे, दोस्तों। आपके समय और ध्यान के लिए बहुत बहुत धन्यवाद। हम अगली बार आपको पकड़ लेंगे। अलविदा।
