परवानगी विचारण्यास उत्तमः गोपनीयता आणि सुरक्षिततेसाठी सर्वोत्कृष्ट सराव

लेखक: Roger Morrison
निर्मितीची तारीख: 23 सप्टेंबर 2021
अद्यतन तारीख: 19 जून 2024
Anonim
परवानगी विचारण्यास उत्तमः गोपनीयता आणि सुरक्षिततेसाठी सर्वोत्कृष्ट सराव - तंत्रज्ञान
परवानगी विचारण्यास उत्तमः गोपनीयता आणि सुरक्षिततेसाठी सर्वोत्कृष्ट सराव - तंत्रज्ञान

टेकवे: डॉ. रॉबिन ब्लॉर आणि आयडीईआरए विक्की हार्प यांच्याशी होस्ट एरिक कवानाग सुरक्षा आणि परवानग्यांबद्दल चर्चा करतात.



आपण सध्या लॉग इन केलेले नाही. कृपया व्हिडिओ पाहण्यासाठी लॉग-इन किंवा साइन-अप करा.

एरिक कवानाग: ठीक आहे, स्त्रिया आणि सज्जनो, नमस्कार आणि पुन्हा आपले स्वागत आहे. हे बुधवारचे आहे, त्याचे चार पूर्वेकडील आणि एंटरप्राइझ तंत्रज्ञानाच्या जगात याचा अर्थ असा आहे की पुन्हा एकदा हॉट टेक्नॉलॉजीजसाठी त्याची वेळ आली आहे! हो नक्कीच. टेक्नोपीडिया येथे आमच्या मित्रांद्वारे समर्थित ब्लर ग्रुप अर्थातच सादर. आजचा विषय खरोखर मस्त आहे: "परवानगी विचारणे चांगलेः गोपनीयता आणि सुरक्षिततेसाठी सर्वोत्कृष्ट पद्धती." हे खरे आहे, हा एक कठोर विषय आहे, बरेच लोक याबद्दल बोलतात, परंतु तो एक अतिशय गंभीर विषय आहे, आणि हे खरोखर दररोज अधिक गंभीर होत आहे, अगदी स्पष्टपणे. बर्‍याच संस्थांसाठी हा अनेक प्रकारे गंभीर प्रश्न आहे. त्याबद्दल बोलणार होतो आणि आपल्या संस्थेला या दिवसात सर्वत्र दिसत असलेल्या भयंकर पात्रांपासून आपले संरक्षण करण्यासाठी आपण काय करू शकता याबद्दल बोलणार आहात.


तर आजचा प्रस्तुतकर्ता म्हणजे विकी हार्प आयडीईआरए वरून कॉल करीत आहे. आपण लिंक्डइनवर आयडेरा सॉफ्टवेअर पाहू शकता - मला लिंक्डइनवर नवीन कार्यक्षमता आवडली. जरी मी ते सांगू शकतो की काही तारण काही मार्गांनी खेचत आहे, आपल्याला लोकांकडे जाऊ देत नाही, त्या प्रीमियम सदस्यता खरेदी करण्यासाठी आपल्याला प्रयत्न करीत आहेत. तिथे तुम्ही जा, आमच्याकडे आमचे स्वतःचे रॉबिन ब्लॉर आहे, आज सॅन डिएगो भागात खरोखरच डायल करा - हिल. आणि आपले नियंत्रक / विश्लेषक म्हणून खरोखरच आपले आहात.

मग आपण कशाबद्दल बोलत आहोत? डेटाचा भंग मी नुकतीच ही माहिती आयडेंटिटी फोर्स डॉट कॉम वरून घेतलेली आहे, ती शर्यतीपासून दूरच आहे. या वर्षाच्या अर्थातच मेमध्ये होते, आणि तेथे फक्त एक टन डेटा उल्लंघन आहे, काही खरोखरच याहूद्वारे आहेत! एक मोठा होता, आणि आम्ही अर्थातच अमेरिकन सरकार हॅक झाल्याचे ऐकले. आमच्याकडे नुकतीच फ्रेंच निवडणुका हॅक झाल्या.

हे सर्व ठिकाणी घडत आहे, हे सुरू आहे आणि ते थांबणार नाही, म्हणून ते म्हणतात त्याप्रमाणे हे वास्तव आहे, त्याचे नवीन वास्तव आहे. आमच्या सिस्टम आणि आमच्या डेटाची सुरक्षा कशी अंमलात आणता येईल याबद्दल आपण खरोखर विचार करणे आवश्यक आहे. आणि ही एक चालू असलेली प्रक्रिया आहे, म्हणूनच सर्व काही भिन्न विषयांवर विचार करण्यासारखे हे फक्त वेळेत आहे. ही फक्त एक आंशिक यादी आहे, परंतु हे आपल्याला एंटरप्राइझ सिस्टमसह परिस्थिती किती अनिश्चिततेबद्दल परिपूर्ण दृष्टीकोन देते. आणि या शोच्या आधी, आमच्या प्री-शो बॅनरमध्ये आम्ही रॅन्समवेअरबद्दल बोलत होतो ज्याने माझ्या ओळखीच्या एखाद्याला मारहाण केली आहे, जो एक अतिशय अप्रिय अनुभव आहे, जेव्हा कोणी आपल्या आयफोनचा ताबा घेईल आणि आपल्या फोनवर पुन्हा प्रवेश मिळविण्यासाठी आपल्याकडे पैशाची मागणी करेल. परंतु हे घडते, ते संगणकावर घडते, सिस्टममध्ये घडते, मी दुसर्‍याच दिवशी पाहिले, ते त्यांच्या नौकासमवेत अब्जाधीशांवर घडले. एका दिवशी आपल्या नौकाकडे जाण्याची कल्पना करा, आपल्या सर्व मित्रांना प्रभावित करण्याचा प्रयत्न करा आणि आपण ते चालू देखील करू शकत नाही, कारण काही चोरांनी कंट्रोल पॅनेलच्या नियंत्रणामध्ये चोरी केली आहे. दुसर्‍या दिवशी मी एखाद्याला दिलेल्या मुलाखतीत मी नेहमीच सांगितले होते की नेहमीच मॅन्युअल अधिलिखित करा. आवडले, मी सर्व कनेक्ट केलेल्या कारचा एक मोठा चाहता नाही - अगदी कार देखील हॅक केल्या जाऊ शकतात. इंटरनेटशी कनेक्ट केलेले किंवा आत प्रवेश करता येणार्‍या नेटवर्कशी कनेक्ट केलेले काहीही हॅक केले जाऊ शकते, काहीही.


तर परिस्थिती किती गंभीर आहे हे सांगण्यासाठी येथे काही गोष्टी विचारात घ्याव्यात. वेब-आधारित सिस्टीम या दिवसात सर्वत्र आहेत, ते वाढतच आहेत. किती लोक ऑनलाइन वस्तू खरेदी करतात? हे केवळ छतावरूनच आहे, आजकाल Amazonमेझॉन इतके शक्तिशाली सामर्थ्य का आहे. कारण बरेच लोक ऑनलाइन वस्तू खरेदी करीत आहेत.

तर, तुम्हाला आठवत असेल की 15 वर्षांपूर्वी, लोक त्यांची माहिती मिळविण्यासाठी त्यांचे क्रेडिट कार्ड वेब फॉर्ममध्ये ठेवण्याबद्दल खूप घाबरले होते आणि तेव्हा असा युक्तिवाद होता, “ठीक आहे, जर तुम्ही तुमचे क्रेडिट कार्ड एखाद्या वेटरला दिले तर एक रेस्टॉरंट, नंतर तीच गोष्ट निश्चित करते. ”तर, आमचे उत्तर होय आहे, तीच गोष्ट आहे, या सर्व नाणीची नियंत्रणे किंवा प्रवेश बिंदू, समान गोष्ट, एकाच नाण्याच्या भिन्न बाजू आहेत, जिथे लोक ठेवले जाऊ शकतात. धोक्यात आणा, जिथे कोणी आपले पैसे घेऊ शकेल किंवा कोणीतरी आपल्याकडून चोरी करू शकेल.

मग आयओटी अर्थातच धमकीकेप वाढवते - मला तो शब्द आवडतो - विशालतेच्या आदेशानुसार. म्हणजे, त्याबद्दल विचार करा - सर्वत्र या सर्व नवीन उपकरणांसह, जर कोणी त्यांच्या नियंत्रणाखाली असलेल्या सिस्टममध्ये एखाद्याला हॅक करू शकत असेल तर ते त्या सर्व बॉट्स आपल्याविरूद्ध वळवू शकतात आणि बरीच समस्या आणू शकतात, म्हणूनच हा एक अतिशय गंभीर मुद्दा आहे. आजकाल आपल्याकडे जागतिक अर्थव्यवस्था आहे, जी धमक्या अधिक विस्तृत करते आणि आणखी काय, आपल्याकडे इतर देशांमधील असे लोक आहेत जे वेबवर प्रवेश करू शकतात त्याच प्रकारे आपण आणि मी करू शकता, आणि आपल्याला रशियन कसे बोलायचे हे माहित नसल्यास, किंवा इतर भाषा कितीही आहेत, आपल्या सिस्टममध्ये हॅक झाल्यावर काय चालले आहे हे समजून घेण्यात आपणास कठीण वेळ लागेल. म्हणून आपल्याकडे नेटवर्किंग आणि व्हर्च्युअलायझेशनमध्ये प्रगती आहे, चांगले आहे.

परंतु माझ्याकडे या चित्राच्या उजव्या बाजूला आहे, एक तलवार आणि माझ्याकडे ते कारण आहे कारण प्रत्येक तलवार दोन्ही मार्गांनी कापते. ती म्हणाली त्याप्रमाणे ही दुहेरी तलवार आहे, आणि ती जुनी चढाई आहे, परंतु याचा अर्थ असा आहे की माझ्याकडे असलेली तलवार तुम्हाला इजा करु शकते किंवा ती मला इजा पोहोचवू शकते. एकतर परत उसळी मारून किंवा कोणीतरी घेतल्यामुळे हे माझ्यावर परत येऊ शकते. हे प्रत्यक्षात एक इप्सॉप कल्पित कथा आहे - आम्ही बर्‍याचदा आपल्या शत्रूंना आमच्या स्वतःच्या विधानाची साधने देतो. ही खरोखरच आकर्षक गोष्ट आहे आणि धनुष्य आणि बाण वापरणा and्या एखाद्या व्यक्तीशी आणि पक्ष्याने खाली सोडले आणि पक्षी पाहिले, जसे बाण वर येत होता, तसा त्याच्या पक्षीच्या पंखाच्या बाणाच्या काठावर होता, बाणांच्या मागच्या बाजूस मार्गदर्शन करण्यासाठी आणि तो स्वत: शी विचार करू लागला, “हे माणसा, हा माझा स्वतःचा पंख आहे, माझे स्वतःचे कुटुंब मला खाली आणण्यासाठी वापरले जातील.” हे नेहमीच घडते, तुम्ही ऐका आपल्याकडे घरात बंदूक आहे याबद्दलची आकडेवारी, चोर तोफा घेऊ शकतो. बरं, हे सर्व खरं आहे. तर, मी फक्त एक सादृश्यता म्हणून विचार करण्यासाठी येथे बाहेर टाकत आहे, या सर्व भिन्न घडामोडींच्या सकारात्मक बाजू आणि नकारात्मक बाजू आहेत.

आणि बोलायचे तर, तुमच्यातील कंटेनर खरोखरच एंटरप्राइझ संगणनाची कटींग धार पाळतात, कंटेनर ही नवीनतम गोष्ट आहे, कार्यक्षमता वितरित करण्याचा नवीनतम मार्ग आहे, सेवेसाठी देणारं आर्किटेक्चरमधील आभासीकरणाचा खरोखरच विवाह आहे, किमान मायक्रोसॉर्सेस आणि त्याच्यासाठी खूप मनोरंजक सामग्री. कंटेनरचा वापर करुन आपण आपला सुरक्षितता प्रोटोकॉल आणि आपला अनुप्रयोग प्रोटोकॉल आणि आपला डेटा वगैरे निश्चितपणे गोंधळात टाकू शकता आणि यामुळे आपल्याला थोड्या काळासाठी अ‍ॅडव्हान्स मिळेल, परंतु लवकरच किंवा नंतर, वाईट लोक हे शोधून काढतील आणि तर आपल्या सिस्टमचा फायदा घेत त्यांना प्रतिबंधित करणे आणखी कठीण होईल. तर, तेथे, जागतिक कार्यशक्ती आहे जी नेटवर्क आणि सुरक्षिततेस गुंतागुंत करते आणि जिथून लोक लॉग इन करीत आहेत.

आम्हाला ब्राउझरची युद्धे मिळाली आहेत जी वेगातच चालू आहेत आणि अद्ययावत करण्यासाठी आणि सतत गोष्टींवर रहाण्यासाठी सतत काम करावे लागते. आम्ही जुन्या मायक्रोसॉफ्ट एक्सप्लोरर ब्राउझरविषयी ऐकत राहतो, ते कसे हॅक केले आणि तेथे तेथे उपलब्ध. तर, हॅकिंगमध्ये या दिवसांत आणखी पैसे कमवायचे आहेत, एक संपूर्ण उद्योग आहे, ही अशी एक गोष्ट आहे जी माझा साथीदार डॉ. ब्लॉर यांनी आठ वर्षांपूर्वी मला शिकवली होती - मी विचार करीत होतो की आपण त्यात बरेच काही का पाहत आहोत, आणि त्याने आठवण करून दिली मी, ही संपूर्ण उद्योग हॅकिंगमध्ये सामील आहे. आणि त्या अर्थाने, कथन, जी माझ्या सुरक्षेबद्दलच्या सर्वात आवडत्या शब्दांपैकी एक आहे, ती खरोखरच अप्रामाणिक आहे, कारण आख्यान आपल्याला या सर्व व्हिडिओमध्ये दर्शविते आणि कोणत्याही प्रकारच्या बातम्या कव्हरेजमध्ये काही लोक हॅकिंगमध्ये बसलेले दिसतात, बसलेले आहेत गडद लिटर रूममध्ये त्याच्या तळघर मध्ये, सर्व काही नाही. ते वास्तवाचे मुळीच प्रतिनिधी नाही. तिचे एकमेव हॅकर्स, तेथे फारच कमी लोन हॅकर्स आहेत, ते तिथेच आहेत, त्यांना काही समस्या उद्भवत आहेत - यामुळे त्यांना मोठा त्रास होणार नाही, परंतु ते भरपूर पैसे कमवू शकतात. तर काय होते हॅकर्स आत येतात आणि तुमची प्रणाली आत घुसतात आणि नंतर तो प्रवेश दुसर्‍याकडे पोचवतात, जो फिरतो आणि दुसर्‍याला विकतो आणि मग कुठेतरी रेषेतून, कोणीतरी त्या हॅकचा गैरफायदा घेत आपला फायदा उठवितो. आणि चोरी झालेल्या डेटाचा फायदा घेण्याचे असंख्य मार्ग आहेत.

मी या संकल्पनेचे कसे मोहक करतो याबद्दल आश्चर्य वाटले. आपल्याला हा शब्द सर्वत्र दिसतो, "ग्रोथ हॅकिंग" ही एक चांगली गोष्ट आहे. ग्रोथ हॅकिंग, तुम्हाला माहित आहेच की हॅकिंग ही चांगली गोष्ट असू शकते, जर आपण चांगल्या लोकांसाठी काम करण्याचा प्रयत्न करीत असाल तर एखाद्या सिस्टममध्ये बोलणे आणि हॅक करणे, जसे आम्ही उत्तर कोरिया आणि त्यांचे क्षेपणास्त्र प्रक्षेपण याबद्दल ऐकत राहतो, संभाव्यतः हॅक होत आहे - चांगले आहे . परंतु हॅकिंग ही बर्‍याचदा वाईट गोष्ट असते. जेव्हा आम्ही रॉबिन हूडला मोहक बनवितो तेव्हा जवळजवळ रॉबिन हूडप्रमाणेच आता ते ग्लॅमरिंग करीत होते. आणि मग तिथे कॅशलेस सोसायटी आहे, काहीतरी म्हणजे माझ्याकडून प्रकाश पळवून लावण्याची चिंता. मला जे वाटते ते प्रत्येक वेळी ऐकल्यासारखे वाटते, “नाही, कृपया असे करू नका! कृपया नको! ”आमची सर्व रक्कम अदृश्य व्हावी असे मला वाटत नाही. तर, हे विचार करण्यासारखे काही मुद्दे आहेत आणि पुन्हा, हा एक मांजर-आणि-माउस गेम आहे; हे कधीही थांबणार नाही, नेहमीच सुरक्षा प्रोटोकॉलची आणि सुरक्षा प्रोटोकॉलमध्ये प्रगती करण्याची आवश्यकता असेल. आणि तिथून बाहेर असलेल्यांना हे जाणून घेण्यासाठी आणि सेन्स करण्यासाठी आपल्या सिस्टमचे निरीक्षण करणे हे समजून घेणे देखील एक अंतर्गत काम असू शकते. तर, हा चालू असलेला मुद्दा आहे, तो बर्‍याच काळापासून चालू असणारा मुद्दा असेल - त्याबद्दल कोणतीही चूक करू नका.

आणि त्यासह, मी हे डॉ. ब्लॉरकडे देणार आहे, जो डेटाबेस सुरक्षित करण्याबद्दल काही विचार आमच्याबरोबर सामायिक करू शकेल. रॉबिन, घेऊन जा.

रॉबिन ब्लॉर: ठीक आहे, एक मनोरंजक हॅक्स आहे, मला वाटते की हे सुमारे पाच वर्षांपूर्वी घडले आहे, परंतु मुळात ती एक कार्ड प्रोसेसिंग कंपनी होती जी हॅक झाली. आणि मोठ्या प्रमाणात कार्ड तपशील चोरीला गेले. पण त्याबद्दलची मजेशीर गोष्ट म्हणजे, ते प्रत्यक्षात सामील झालेला चाचणी डेटाबेस आहे ही गोष्ट होती आणि बहुधा अशी घटना होती की त्यांना प्रक्रियेच्या कार्ड्सच्या वास्तविक, वास्तविक डेटाबेसमध्ये जाण्यात फारच अडचण होती. विकसकांकडे हे कसे आहे हे आपणास माहित आहे, ते फक्त डेटाबेसचा एक भाग घेतात आणि तिथेच हलवतात. ते थांबविण्यासाठी अजून किती दक्षता घ्यावी लागली असती. पण तेथे हॅकिंगच्या बर्‍याच मनोरंजक कथा आहेत, ती एका क्षेत्रात बनविली गेली आहे, हा एक अतिशय मनोरंजक विषय बनला आहे.

म्हणून मी प्रत्यक्षात, एका मार्गाने किंवा दुस ,्या मार्गाने जात आहे, एरिकने सांगितलेल्या काही गोष्टी पुन्हा सांगा, पण स्थिर लक्ष्य म्हणून डेटा सुरक्षेचा विचार करणे सोपे आहे; हे फक्त सोपे आहे कारण स्थिर परिस्थितीचे विश्लेषण करणे आणि नंतर तेथे बचाव करणे, संरक्षण करणे याचा विचार करणे सोपे आहे परंतु ते तसे नाही. हे लक्ष्यित करते आणि अशा प्रकारच्या गोष्टींपैकी एक म्हणजे संपूर्ण सुरक्षा जागा परिभाषित करते. हे सर्व तंत्रज्ञान ज्या प्रकारे विकसित होते त्याप्रमाणेच, वाईट लोकांचे तंत्रज्ञान देखील विकसित होते. तर, थोडक्यात विहंगावलोकन: डेटा चोरी काही नवीन नाही, वास्तविक पाहता डेटा हेरगिरी ही डेटा चोरी आहे आणि ती हजारो वर्षांपासून चालू आहे, मला वाटते.

त्या दृष्टीने सर्वात मोठा डेटा ब्रिटिश म्हणजे जर्मन कोड तोडणे आणि अमेरिकन लोक जपानी कोड तोडत होते आणि दोन्ही घटनांमध्ये त्यांनी युद्ध फारच लहान केले. आणि ते फक्त उपयुक्त आणि मौल्यवान डेटाच चोरी करीत होते, हे खूपच हुशार होते, परंतु तुम्हाला माहिती आहे, सध्या काय चालले आहे ते बर्‍याच प्रकारे चतुर आहे. सायबर चोरीचा जन्म इंटरनेटसह झाला आणि २०० 2005 च्या सुमारास त्याचा स्फोट झाला. मी गेलो आणि सर्व आकडेवारी पाहिल्या आणि जेव्हा आपण खरोखर गंभीर होऊ लागलो आणि एखाद्या मार्गाने किंवा इतर प्रकारे, जवळजवळ २०० in पासून सुरू होणारी उल्लेखनीय संख्या जास्त आहे. तेव्हापासून ही आणखी वाईट झाली. मग. बरेच खेळाडू, सरकारे यात सामील आहेत, व्यवसायात गुंतलेले आहेत, हॅकर ग्रुप्स आणि व्यक्ती.

मी मॉस्कोला गेलो - त्यास सुमारे पाच वर्षे झाली असतील - आणि मी खरंच यूकेमधील एका मुलाबरोबर बराच वेळ घालवला, ज्याने संपूर्ण हॅकिंगच्या जागेबद्दल संशोधन केले. आणि ते म्हणाले की - आणि हे सत्य आहे की नाही याची मला कल्पना नाही, मला फक्त त्याचा शब्द मिळाला, परंतु बहुधा असे वाटते - की रशियामध्ये बिझिनेस नेटवर्क असे काहीतरी आहे, जे हॅकर्सचा एक गट आहे, आपण माहित आहे, ते केजीबीच्या अवशेषातून बाहेर आले आहेत. आणि ते स्वत: ला विकतात, फक्त एवढेच नव्हे, तर मला खात्री आहे की रशियन सरकार त्यांचा वापर करते, परंतु ते स्वत: ला कोणालाही विकतात आणि ही अफवा आहे, किंवा तो म्हणाला की ही अफवा आहे, असं म्हणतात की विविध परदेशी सरकार बिझिनेस नेटवर्कला नाकारण्याकरिता वापरत आहेत . या मुलांकडील कोट्यावधी तडजोड झालेल्या पीसींचे नेटवर्क होते ज्यातून ते हल्ला करु शकतात. आणि त्यांच्याकडे आपण कल्पना करू शकता अशी सर्व साधने होती.

तर, हल्ला आणि बचावाचे तंत्रज्ञान विकसित झाले. आणि व्यवसायांचा त्यांचा डेटा आहे की नाही याची काळजी घेण्याचे कर्तव्य आहे. आणि प्रत्यक्षात आधीपासून अस्तित्वात असलेल्या किंवा अंमलात येणा reg्या नियमांच्या विविध तुकड्यांच्या बाबतीत हे अधिक स्पष्ट होऊ लागले आहे. आणि सुधारण्याची शक्यता आहे, कुणीतरी एक प्रकारे किंवा दुसर्‍या मार्गाने, एखाद्याला हॅकिंगची किंमत अशा प्रकारे सहन करावी लागली आहे की त्यांना शक्यता कमी करण्यासाठी प्रोत्साहित केले गेले आहे. माझ्या अंदाजानुसार एक गोष्ट आवश्यक आहे. हॅकर्स बद्दल, ते कोठेही स्थित असू शकतात. विशेषत: आपल्या संस्थेमध्ये - कुणीतरी दार उघडत असल्याच्या ऐकल्याबद्दलच्या हॅक्सची अद्भुत गोष्ट. तुम्हाला माहिती आहे, ती व्यक्ती, बँक दरोडेखोरांची परिस्थिती सारखीच असते, ती नेहमीच चांगल्या बँक दरोडेखोरांमध्ये म्हणायची नेहमी एक आतली माणसे असतात. परंतु अंतर्भागास केवळ माहिती देणे आवश्यक आहे, म्हणून त्यांना मिळविणे, ते कोण होते हे जाणून घेणे आणि यापुढे बरेच काही अवघड आहे.

आणि त्यांना न्यायालयासमोर नेणे अवघड आहे, कारण जर तुम्हाला मोल्डोव्हामधील लोकांच्या एका टोळीने ठार मारले असेल, जरी तो तुम्हाला माहित असेल की तो गट आहे, तर मग तुम्ही त्यांच्या आजूबाजूला कसली तरी कायदेशीर घटना घडवून आणणार आहात. त्याचा प्रकार, एका कार्यक्षेत्रातून दुसर्‍या कार्यक्षेत्रात, अगदी बरोबर, हॅकर्सना खाली पाडण्यासाठी आंतरराष्ट्रीय व्यवस्थेचा एक चांगला सेट नाही. ते तंत्रज्ञान आणि माहिती सामायिक करतात; तो बराच मुक्त स्रोत आहे. आपण आपला स्वतःचा व्हायरस तयार करू इच्छित असल्यास, तेथे बरेचसे व्हायरस किट्स आहेत - पूर्णपणे मुक्त स्त्रोत. आणि त्यांच्याकडे बर्‍यापैकी संसाधने आहेत, अशी अनेक लोक आहेत ज्यांची डेटा सेंटर आणि पीसी वर एक दशलक्षाहूनही अधिक तडजोडीच्या साधनांमध्ये बॉटनेट होते. काही असे फायदेशीर व्यवसाय आहेत जे बर्‍याच काळापासून चालू आहेत आणि नंतर मी नमूद केल्यानुसार तेथे सरकारी गट असतात.एरिकने म्हटल्याप्रमाणे, हे संभव नाही, ही घटना कधीही संपणार नाही.

तर, हे एक मनोरंजक खाच आहे ज्याबद्दल मला वाटले की आयडीने त्याचा उल्लेख केला आहे, कारण ते अगदी अलीकडील खाच होते; हे गेल्या वर्षी घडले. इथेरियम क्रिप्टो नाण्याशी संबंधित डीएओ करारामध्ये एक असुरक्षितता होती. आणि त्याबद्दल फोरमवर चर्चा झाली आणि एका दिवसातच त्या असुरक्षाचा अचूक वापर करुन डीएओ कराराला हॅक करण्यात आला. इथरमधील million० दशलक्ष डॉलर्स सोडले गेले, यामुळे डीएओ प्रकल्पात त्वरित संकट निर्माण झाले आणि ते बंद झाले. आणि इथरियमने हॅकरला पैशाच्या प्रवेशापासून रोखण्यासाठी प्रत्यक्षात प्रयत्न केला आणि त्यांनी एक प्रकारची कमतरता कमी केली. परंतु हे देखील मानले गेले - निश्चितपणे ज्ञात नाही - की हॅकरने आपल्या आक्रमणापूर्वी खरंतर इथरची किंमत कमी केली आणि हे समजले की इथरची किंमत कोसळेल आणि अशा प्रकारे त्याने दुसर्‍या मार्गाने नफा कमावला.

आणि दुसरे म्हणजे, आपल्याला आवडत असल्यास, हॅकर्स वापरू शकतील अशी स्ट्रॅटगेम. जर ते आपल्या शेअर्सची किंमत खराब करू शकतात आणि त्यांना हे माहित आहे, तर त्यांच्यासाठी शेअर्सची किंमत कमी करणे आणि खाच करणे हे केवळ त्यांच्यासाठी आवश्यक आहे, म्हणूनच या प्रकारचे, हे लोक स्मार्ट आहेत, तुम्हाला माहिती आहे. आणि किंमत म्हणजे केवळ जाहिरातींसाठी फायद्यासाठी गुंतवणूकीसह पैसे, व्यत्यय आणि खंडणीची पूर्णपणे चोरी होय. आणि हे राजकीय आहे किंवा स्पष्टपणे माहिती हेरगिरी करीत आहे आणि असे बरेच लोक आहेत जे आपण Google, Appleपल - अगदी पंचकोनच्या अगदी हॅक करण्याचा प्रयत्न करून मिळवू शकणार्‍या बग रोख्यांमधून कमाई करतात - अगदी पेंटॅगॉन देखील खरंच बग मिळवतात. आणि आपण फक्त खाच; जर ते यशस्वी झाले तर आपण जाऊन आपल्या बक्षीसावर दावा करा आणि कोणतीही हानी झाली नाही, तर एक चांगली गोष्ट आहे, तुम्हाला माहिती आहे.

मी तसेच पालन आणि नियमांचा उल्लेख करू शकतो. सेक्टरच्या पुढाकारांव्यतिरिक्त, अधिकृत नियमांची भरपाई: एचआयपीएए, एसओएक्स, फिस्मा, फर्पा आणि जीएलबीए हे सर्व अमेरिकन कायदे आहेत. मानके आहेत; पीसीआय-डीएसएस हे बर्‍यापैकी सामान्य मानक बनले आहे. आणि त्यानंतर डेटा मालकीबद्दल आयएसओ 17799 आहे. राष्ट्रीय नियम वेगवेगळ्या देशांमध्येदेखील भिन्न आहेत, अगदी युरोपमध्ये. आणि सध्या जीडीपीआर - ग्लोबल डेटा, याचा अर्थ काय आहे? ग्लोबल डेटा प्रोटेक्शन रेग्युलेशन, मला वाटते की याचा अर्थ असा आहे - परंतु पुढच्या वर्षी अस्तित्त्वात येणा .्या, म्हणाले. आणि त्याबद्दलची मजेशीर गोष्ट म्हणजे ती जगभर लागू होते. आपल्याकडे 5,000,००० किंवा त्याहून अधिक ग्राहक असल्यास, ज्यांची आपणाकडे वैयक्तिक माहिती आहे आणि ते युरोपमध्ये राहत आहेत, तर युरोप आपल्याला खरोखर कार्य करण्यास नेईल, काही नाही आपली कॉर्पोरेशन प्रत्यक्ष मुख्यालय आहे किंवा जेथे ते कार्यरत आहे. आणि दंड, जास्तीत जास्त दंड वार्षिक कमाईच्या चार टक्के आहे, जे फक्त प्रचंड आहे, जेणेकरून ते लागू होईल तेव्हा जगावर एक रोचक पिळ होईल.

विचार करण्यासारख्या गोष्टी, डीबीएमएस असुरक्षा, बहुतेक मौल्यवान डेटा प्रत्यक्षात डेटाबेसमध्ये बसलेला असतो. हे मौल्यवान आहे कारण आम्ही ते उपलब्ध करुन देण्यामध्ये आणि चांगल्या प्रकारे आयोजित करण्यात वेळ घालवला आहे आणि यामुळे आपण अधिक योग्यरित्या डीबीएमएस सिक्युरिटीज लागू करत नसल्यास हे अधिक असुरक्षित बनते. अर्थात, जर आपण यासारख्या गोष्टींची योजना आखत असाल तर आपल्याला संपूर्ण संघटनेत काय असुरक्षित डेटा आहे हे ओळखणे आवश्यक आहे आणि हे लक्षात ठेवून आहे की भिन्न कारणांसाठी डेटा असुरक्षित असू शकतो. हा ग्राहकांचा डेटा असू शकतो, परंतु हेरगिरीच्या हेतूंसाठी मौल्यवान असणारी अंतर्गत कागदपत्रे तितकीच असू शकतात. सुरक्षितता धोरण, विशेषत: प्रवेश सुरक्षिततेच्या संदर्भात - जे अलिकडच्या काळात माझ्या मते अगदी कमकुवत होते, नवीन मुक्त स्त्रोत सामग्रीमध्ये - कूटबद्धीकरण अधिक वापरात येत आहे कारण त्याचे सुंदर रॉक ठोस आहे.

सुरक्षा उल्लंघनाची किंमत, बहुतेक लोकांना माहित नव्हती, परंतु जर आपण प्रत्यक्षात सुरक्षा उल्लंघनाचा सामना करणार्‍या संस्थांशी काय घडले ते पाहिले तर असे दिसून येते की सुरक्षा उल्लंघनाची किंमत आपल्या विचार करण्यापेक्षा बर्‍याचदा जास्त असते. आणि मग विचार करण्यासारखी दुसरी गोष्ट म्हणजे हल्ल्याची पृष्ठभाग, कारण कोठेही सॉफ्टवेअरचा कोणताही तुकडा, आपल्या संस्थांसह चालत असताना आक्रमण पृष्ठभाग दर्शवितो. म्हणून कोणतीही साधने करा, डेटा कसा संग्रहित करेल याचा फरक पडत नाही. सर्व काही, आक्रमणाची पृष्ठभाग गोष्टींच्या इंटरनेटसह वाढत आहे, हल्ल्याची पृष्ठभाग कदाचित दुप्पट होणार आहे.

तर, शेवटी, डीबीए आणि डेटा सुरक्षितता. डेटा सुरक्षा हा सहसा डीबीएच्या भूमिकेचा भाग असतो. पण त्याचे सहयोगीही आहे. आणि कॉर्पोरेट धोरणाच्या अधीन असणे आवश्यक आहे, अन्यथा ते कदाचित चांगल्या प्रकारे अंमलात आणले जाणार नाही. असे म्हटल्यावर मला वाटते की मी चेंडू पास करू शकतो.

एरिक कवानाग: ठीक आहे, मी विक्कीला कळा देतो. आणि आपण आपली स्क्रीन सामायिक करू शकता किंवा या स्लाइडवर हलवू शकता, हे आपल्यावर अवलंबून आहे, त्यास घेऊन जा.

विकी वीणा: नाही, मी या स्लाइड्सपासून सुरूवात करतो, खूप खूप आभारी आहे. तर, हो, मला फक्त एक द्रुत वेळ घेऊन स्वत: चा परिचय करून द्यायचा होता. आयएम विक्की हार्प. मी मॅनेजर, आयडेरा सॉफ्टवेअर मधील एसक्यूएल उत्पादनांसाठी उत्पादन व्यवस्थापन आणि आपल्यापैकी जे आमच्याशी परिचित होऊ शकत नाहीत त्यांच्यासाठी, आयडराकडे उत्पादनाच्या अनेक ओळी आहेत, परंतु मी एसक्यूएल सर्व्हरच्या बाजूने बोलतो आहे. आणि म्हणून आम्ही कार्यप्रदर्शन देखरेख, सुरक्षा अनुपालन, बॅकअप, प्रशासन साधने - आणि त्यापैकी फक्त एक यादी आहे. आणि नक्कीच, आज मी येथे ज्या गोष्टींबद्दल बोलणार आहे ती म्हणजे सुरक्षा आणि अनुपालन.

मला आज ज्या गोष्टींबद्दल बोलण्याची इच्छा आहे ती बरीचशी आमची उत्पादने आवश्यक नाहीत, परंतु नंतर त्यातील काही उदाहरणे दर्शविण्याचा माझा हेतू आहे. मला तुमच्याशी डेटाबेस सुरक्षिततेविषयी, आत्ता डेटाबेसच्या सुरक्षिततेच्या धोक्यातील काही गोष्टींबद्दल, काही गोष्टींबद्दल विचार करण्याच्या गोष्टी आणि तुमच्या एस क्यू एल सुरक्षित करण्यासाठी तुम्हाला काय पाहावे लागेल यासंबंधी काही परिचयात्मक कल्पनांबद्दल मी अधिक बोलू इच्छितो. सर्व्हर डेटाबेस आणि ते देखील नमूद केल्याप्रमाणे आपण अधीन राहू शकता अशा नियामक चौकटीचे अनुपालन करत आहेत हे सुनिश्चित करण्यासाठी. तेथे बरेच वेगवेगळे नियम आहेत; ते वेगवेगळे उद्योग, जगभरातील वेगवेगळ्या ठिकाणी जातात आणि या गोष्टींचा विचार करण्याच्या गोष्टी आहेत.

तर, मी काही क्षण घालवू इच्छितो आणि डेटा उल्लंघनाच्या स्थितीबद्दल बोलू इच्छितो - आणि येथे आधीच चर्चा झालेल्या गोष्टींबद्दल जास्त पुनरावृत्ती करू इच्छित नाही - मी नुकतेच या इंटेल सुरक्षा संशोधन अभ्यासाकडे पाहत होतो आणि त्या संपूर्ण - मला वाटते १ with०० किंवा त्यांच्याशी ज्या संघटनांबरोबर ते बोलले - डेटा गमावण्याच्या उल्लंघनाच्या बाबतीत त्यांच्यात सरासरी सहा सुरक्षा उल्लंघन होते आणि त्यापैकी percent 68 टक्के लोकांना काही प्रमाणात खुलासे करण्याची आवश्यकता होती, त्यामुळे त्यांचा शेअरच्या किंमतीवर परिणाम झाला किंवा त्यांना काही क्रेडिट करावे लागले त्यांचे ग्राहक किंवा त्यांचे कर्मचारी इ. देखरेख ठेवणे.

काही इतर मनोरंजक आकडेवारी अशी आहे की त्यापैकी 43 टक्के जबाबदार असलेले अंतर्गत कलाकार. तर, बरेच लोक हॅकर्स आणि या प्रकारच्या अस्पष्ट अर्ध-सरकारी संस्था किंवा संघटित गुन्हे इत्यादींबद्दल खूप विचार करतात, परंतु अंतर्गत कलाकार अद्यापही त्यांच्या नियोक्तेविरूद्ध थेट कारवाई करीत आहेत, या प्रकरणांच्या अत्यधिक प्रमाणात. आणि यापासून संरक्षण करणे कधी कधी कठीण असते कारण लोकांकडे डेटामध्ये प्रवेश करण्याची कायदेशीर कारणे असू शकतात. त्यापैकी अर्धे, 43 टक्के काही अर्थाने अपघाती नुकसान होते. तर, उदाहरणार्थ, एखाद्याने डेटा घरी नेला आणि नंतर त्या डेटाचा मागोवा गमावला, ज्यामुळे मला या तिसर्‍या बिंदूकडे नेले जाते, जे म्हणजे भौतिक माध्यमांवरील सामग्रीमध्ये अजूनही 40 टक्के उल्लंघन होते. तर, यूएसबी की चालविते, लोकांचे लॅपटॉप ठरवतात, प्रत्यक्ष मिडीया जी भौतिक डिस्कवर बर्न केली जातात आणि इमारतीबाहेर काढली जातात.

आपण विचार करत असल्यास, आपल्याकडे एक विकसक आहे ज्याच्याकडे लॅपटॉपवर आपल्या उत्पादन डेटाबेसची एक प्रत आहे? मग ते विमानात जातात आणि विमानातून खाली उतरतात आणि चेक केलेला सामान मिळतो आणि त्यांचा लॅपटॉप चोरीला गेला आहे. आपल्याकडे आता डेटाचा भंग झाला आहे. आपणास कदाचित हा लॅपटॉप का घेतला गेला आहे याचा विचार करू शकत नाही, कदाचित तो जंगलात कधीच दिसणार नाही. परंतु अद्याप उल्लंघन म्हणून मोजले जाणारे असे काहीतरी आहे, त्यास प्रकटीकरण आवश्यक आहे, आपण त्या भौतिक मीडियाच्या नुकसानामुळे, डेटा गमावल्याचा सर्व प्रवाहात परिणाम होणार आहेत.

आणि दुसरी मनोरंजक गोष्ट अशी आहे की बरेच लोक क्रेडिट डेटा आणि क्रेडिट कार्ड माहितीबद्दल सर्वात मूल्यवान आहेत याबद्दल विचार करीत आहेत, परंतु तसे आता घडत नाही. तो डेटा मौल्यवान आहे, क्रेडिट कार्ड नंबर उपयुक्त आहेत, परंतु प्रामाणिकपणे, ते संख्या खूप लवकर बदलल्या जातात, तर लोकांचा वैयक्तिक डेटा फार लवकर बदलला जात नाही. नुकतीच घडणारी बातमी, तुलनेने नुकतीच व्हीटेक या खेळण्या तयारकर्त्याकडे ही खेळणी होती जी मुलांसाठी डिझाइन केली होती. आणि लोक त्यांच्या मुलाची नावे सांगू शकतील, मुलांना कोठे राहतात याबद्दल माहिती असेल, त्यांच्या पालकांचे नावे असतील, त्यांच्याकडे मुलांची छायाचित्रे होती. त्यापैकी काहीही एनक्रिप्टेड नव्हते, कारण ते महत्त्वाचे मानले जात नाही. परंतु त्यांचे संकेतशब्द कूटबद्ध होते. ठीक आहे, जेव्हा उल्लंघन अपरिहार्यपणे झाला तेव्हा आपण म्हणत आहात, "ठीक आहे, म्हणून माझ्याकडे मुलांची नावे, त्यांचे पालकांची नावे, ते कोठे राहतात याची एक यादी आहे - ही सर्व माहिती तेथे आहे, आणि आपण असा विचार करता की संकेतशब्द सर्वात महत्वाचा भाग होता त्याचं? ”तो नव्हता; लोक त्यांच्या वैयक्तिक डेटाबद्दल, त्यांचे पत्ता इत्यादी बाबी बदलू शकत नाहीत आणि त्यामुळे ती माहिती खरोखर खूपच मूल्यवान आहे आणि ती संरक्षित करण्याची आवश्यकता आहे.

तर, डेटा चालू असलेल्या काही प्रकारे सध्या काय घडत आहे त्या मार्गाने योगदान देण्यासाठी चालू असलेल्या काही गोष्टींबद्दल बोलू इच्छित होते. आत्ता एक मोठी हॉटस्पॉट्स, रिक्त स्थान म्हणजे सोशल इंजिनिअरिंग. म्हणून लोक याला फिशिंग म्हणतात, त्यामध्ये तोतयागिरी इत्यादी आहेत, जिथे लोक डेटामध्ये प्रवेश मिळवित आहेत, बहुतेकदा अंतर्गत कलाकारांद्वारे, फक्त त्यांना खात्री करुन की त्यात त्यात प्रवेश आहे. तर, दुसर्‍याच दिवशी, आमच्याकडे हा Google डॉक्स जंत होता ज्याभोवती फिरत होता. आणि हे काय होईल - आणि मला त्याची एक प्रत प्रत्यक्षात मिळाली, जरी सुदैवाने मी त्यावर क्लिक केले नाही - आपण एका सहका from्याकडून असे म्हणत होता, “हे गूगल डॉक लिंक आहे; मी नुकतेच आपल्यासह काय सामायिक केले ते पाहण्यासाठी आपण यावर क्लिक करणे आवश्यक आहे. "बरं, Google डॉक्स वापरणार्‍या एका संस्थेमध्ये, अगदी पारंपारिक आहे, तुम्हाला दिवसभरात अशा अनेक विनंत्या मिळतील. जर आपण त्यावर क्लिक केले तर ते आपल्याकडे या दस्तऐवजात प्रवेश करण्याची परवानगी विचारेल आणि कदाचित आपण असे म्हणाल, “अहो, ते थोडेसे विचित्र दिसत आहे, परंतु आपल्याला माहित आहे, हे देखील योग्य दिसत आहे, म्हणून मी पुढे जा आणि त्यावर क्लिक करा, ”आणि आपण हे करताच आपण या तृतीय पक्षास आपल्या सर्व Google दस्तऐवजांवर प्रवेश देत होता आणि म्हणूनच, या ड्राइव्हवर Google ड्राइव्हवरील आपल्या सर्व दस्तऐवजांमध्ये प्रवेश मिळावा यासाठी या दुव्याची लिंक तयार केली जात आहे. हे सर्व ठिकाणी किडले. काही तासात हा शेकडो हजारो लोकांवर आदळला. आणि हा मूलभूतपणे फिशिंग हल्ला आहे की Google ला स्वतःच बंद करावे लागले, कारण ते फार चांगले अंमलात आणले गेले. लोक त्यासाठी पडले.

मी येथे स्नॅपचॅट एचआर उल्लंघनाचा उल्लेख करतो. एखाद्याने आय.एन.आर. विभागाकडे असे म्हटले की ते मुख्य कार्यकारी अधिकारी होते, ही एक साधी बाब होती, “मला तुमची ही स्प्रेडशीट माझ्यासाठी आवश्यक आहे.” आणि त्यांनी त्यांच्यावर विश्वास ठेवला आणि त्यांनी 700 लोकांना कर्मचार्‍यांच्या भरपाईची एक स्प्रेडशीट दिली. माहिती, त्यांचे घराचे पत्ते इत्यादी या दुसर्‍या पक्षाला संपादित करा, प्रत्यक्षात मुख्य कार्यकारी अधिकारी नव्हते. आता डेटा संपला होता आणि त्यांचे सर्व कर्मचारी वैयक्तिक, खाजगी माहिती तिथे होती आणि शोषणासाठी उपलब्ध होती. म्हणून, सोशल इंजिनिअरिंग ही एक गोष्ट आहे ज्यांचा मी डेटाबेसच्या जगात उल्लेख करतो, कारण ही अशी एक गोष्ट आहे जी आपण शिक्षणाद्वारे बचावासाठी प्रयत्न करू शकता परंतु आपल्याला हे देखील लक्षात ठेवले पाहिजे की आपल्याकडे तंत्रज्ञानाशी संवाद साधणारी एखादी व्यक्ती आपल्याकडे आहे आणि जर आपण चुकणे थांबविण्यासाठी त्यांच्या चांगल्या निर्णयावर विसंबून असाल तर आपण त्याना पुष्कळ विचारत आहात.

लोक चुका करतात, लोक ज्या गोष्टी नसाव्यात अशा गोष्टींवर क्लिक करतात आणि लोक चतुर विळख्यात पडतात. आणि त्यापासून बचाव करण्यासाठी तुम्ही खूप प्रयत्न करू शकता परंतु ते तितकेसे मजबूत नाही, लोक आपल्या डेटाबेस सिस्टममध्ये चुकून ही माहिती देण्याची क्षमता मर्यादित करण्याचा प्रयत्न करणे आवश्यक आहे. इतर ज्या गोष्टी मी स्पष्टपणे सांगू इच्छित होतो ती म्हणजे रॅन्समवेअर, बॉटनेट्स, व्हायरस - हे सर्व भिन्न स्वयंचलित मार्ग. आणि म्हणूनच मला ransomware बद्दल समजून घेणे महत्वाचे आहे की हे आक्रमणकर्त्यांसाठी खरोखरच नफेचे मॉडेल बदलते. आपण ज्या उल्लंघनाबद्दल बोलत आहात त्या बाबतीत त्यांना काही अर्थाने डेटा काढावा लागेल आणि तो स्वत: साठी घ्यावा लागेल आणि त्याचा उपयोग करावा लागेल. आणि जर आपला डेटा अस्पष्ट असेल तर, त्यास एनक्रिप्टेड असल्यास, जर त्याचा उद्योग विशिष्ट असेल तर कदाचित त्यास त्याचे काहीच मूल्य नाही.

या टप्प्यापर्यंत लोकांना असे वाटले असेल की ते त्यांच्यासाठी हे एक संरक्षण आहे, "मला डेटा उल्लंघन करण्यापासून स्वत: ला वाचविण्याची गरज नाही, कारण ते माझ्या सिस्टममध्ये येतील तर सर्व तेच असतील, मी एक फोटोग्राफी स्टुडिओ आहे , माझ्याकडे पुढील वर्षासाठी कोणत्या दिवशी येत असलेल्यांची यादी आहे. कोणाला याची काळजी आहे? ”बरं, हे उत्तर आपणास काळजी आहे हेच निष्पन्न झाले; आपण ती माहिती संचयित करत आहात, ही आपली व्यावसायिक माहिती म्हणून, फिर्यादी वापरुन एखादा आक्रमणकर्ता म्हणेल, "ठीक आहे, यासाठी कोणीही मला पैसे देणार नाही, परंतु आपण देईल." तर, त्यांना डेटा बाहेर काढावा लागणार नाही ही वस्तुस्थिती लाभली, त्यांना अगदी करावेच लागले नाही उल्लंघन करा, त्यांना फक्त आपल्याविरूद्ध आक्षेपार्ह सुरक्षा साधने वापरण्याची आवश्यकता आहे. ते आपल्या डेटाबेसमध्ये प्रवेश करतात, त्यातील सामग्री एन्क्रिप्ट करतात आणि मग ते म्हणतात, "ठीक आहे, आमच्याकडे संकेतशब्द आहे आणि आपण तो संकेतशब्द मिळविण्यासाठी आम्हाला $ 5,000 द्यावे लागतील, अन्यथा आपल्याकडे हा डेटा नसेल." ”

आणि लोक पैसे देतात; ते स्वत: ला असे करत असल्याचे आढळतात. काही महिन्यांपूर्वी मॉंगोडीबीला एक प्रचंड समस्या आली होती, मला वाटते की ते जानेवारीत होते, जेथे डिफॉल्ट सेटिंग्जवर आधारित, दशलक्षहून अधिक मोंगोडीबीने इंटरनेटवर सार्वजनिकरित्या ते इंटरनेटवर प्रसिद्ध केले आहेत. आणि यामुळे आणखी वाईट झाले की लोक पैसे देत होते आणि म्हणूनच इतर संस्था येतील आणि पुन्हा एनक्रिप्ट करतील किंवा दावा करतील की ज्यांनी मूलतः हे एन्क्रिप्ट केले होते, म्हणून जेव्हा आपण आपले पैसे दिले, आणि मला वाटते त्या परिस्थितीत ते होते $ 500 सारखे काहीतरी विचारून लोक म्हणायचे, "ठीक आहे, मी चुकले आहे हे शोधून काढण्यासाठी एका संशोधकास येथे जाण्यासाठी पैसे देण्यापेक्षा मी जास्त देईन." मी फक्त $ 500 द्या. "आणि ते अगदी योग्य अभिनेत्याला देयही देत ​​नव्हते, म्हणून दहा वेगवेगळ्या संस्थांना ते म्हणाले की,“ आम्हाला संकेतशब्द मिळाला आहे, ”किंवा“ तुम्हाला आपला खंडणीचा डेटा अनलॉक करण्याचा मार्ग मिळाला आहे ” . ”आणि शक्यतो ते कार्य करण्यासाठी आपणा सर्वांना पैसे द्यावे लागतील.

थेरेस अशीही प्रकरणे आहेत ज्यात ransomware लेखकांकडे बग आहेत, म्हणजे ते अगदी वरच्या स्थितीतील परिस्थितीबद्दल बोलत नव्हते, म्हणूनच एकदा त्याच्यावर हल्ला झाल्यावरसुद्धा एकदा तुम्ही पैसे दिल्यावरही तुमची सर्व हमी मिळण्याची हमी नसते. डेटा परत, यापैकी काही शस्त्रास्त्र असलेल्या इन्फोसेक साधनांद्वारे देखील गुंतागुंतीचे आहे. म्हणून छाया दलाल एक गट आहे जो एनएसए कडून साधने बाहेर पडत होता. हेरगिरीच्या उद्देशाने आणि प्रत्यक्षात इतर सरकारी संस्थांच्या विरोधात काम करण्याच्या उद्देशाने ही सरकारी संस्था तयार केलेली साधने होती. यातील काही खरोखरच हाय-प्रोफाइल शून्य-डे हल्ले आहेत, जे मुळात ज्ञात सुरक्षा प्रोटोकॉल फक्त बाजूला पडतात. आणि म्हणूनच एसएमबी प्रोटोकॉलमध्ये एक मुख्य असुरक्षितता होती उदाहरणार्थ, नुकत्याच झालेल्या एका छाया दलालांच्या डंपमध्ये.

आणि म्हणूनच येथून बाहेर येणारी ही साधने, आपल्या हल्ल्याच्या पृष्ठभागाच्या बाबतीत, काही तासांच्या बाबतीत खरोखर गेम आपल्यावर बदलू शकतात. म्हणून जेव्हा जेव्हा मी याबद्दल विचार करीत असतो, तेव्हा हे त्या संघटनात्मक पातळीवर, सुरक्षा माहितीसेकचे स्वतःचे कार्य असते, त्याकडे गांभीर्याने पाहिले जाणे आवश्यक आहे. जेव्हा जेव्हा डेटाबेसबद्दल बोलत होतो तेव्हा मी त्यास थोडीशी खाली आणू शकेन, या आठवड्यात सावली दलालांना काय चालले आहे याची संपूर्ण माहिती तुम्हाला डेटाबेस प्रशासकांकडे असणे आवश्यक नाही, परंतु आपणास जागरूक असणे आवश्यक आहे की या सर्व गोष्टी बदलत आहेत. , अशा काही गोष्टी चालू आहेत आणि ज्यामुळे आपण आपले स्वतःचे डोमेन घट्ट व सुरक्षित ठेवता, त्या गोष्टी आपल्या अंगावरुन मुक्त होऊ शकतात.

तर, मला येथे थोडा वेळ घ्यायचा होता, विशेषतः एसक्यूएल सर्व्हरबद्दल बोलण्यापूर्वी, आमच्या पॅनेलच्या सदस्यांसह डेटाबेस सुरक्षेसह काही बाबींविषयी खुली चर्चा करण्यासाठी. तर, मी या टप्प्यावर पोहोचलो आहे, आम्ही ज्या काही गोष्टी नमूद केल्या आहेत त्यापैकी काही मला एसक्यूएल इंजेक्शनबद्दल वेक्टर म्हणून बोलू इच्छित होते. तर हे एस क्यू एल इंजेक्शन आहे, अर्थातच डेटाबेस सिस्टममध्ये लोक इनपुट्सच्या प्रकाराद्वारे कमांड घालतात.

एरिक कवानाग: होय, मी प्रत्यक्षात एका मुलास भेटलो - मला वाटते की ते Andन्ड्र्यूज एअर फोर्स तळावर होते - सुमारे पाच वर्षांपूर्वी, मी सल्लागार जो हॉलवेमध्ये त्याच्याशी बोलत होतो आणि आम्ही फक्त युद्धाच्या गोष्टी सांगत होतो - कोणताही हेतू नव्हता - आणि तो त्याला नमूद केले आहे की एखाद्याने त्याला लष्करातील ब high्यापैकी उच्चपदस्थ सदस्याशी सल्लामसलत करण्यासाठी आणले होते आणि त्या मुलाने त्याला विचारले, “ठीक आहे, आपण काय करता हे आम्हाला चांगले कसे कळते?” आणि हे आणि ते. आणि जेव्हा तो त्यांच्या संगणकावर वापरत असलेल्या त्यांच्याशी बोलत असता, त्याने नेटवर्कमध्ये प्रवेश केला, तेव्हा त्या बेस आणि त्या लोकांच्या रजिस्ट्रीमध्ये जाण्यासाठी त्याने एसक्यूएल इंजेक्शनचा वापर केला. आणि ज्याच्याशी तो बोलत होता त्या व्यक्तींना तो सापडला आणि त्याने नुकताच त्याला आपल्या मशीनवर दाखविला! आणि तो मुलगा कसा होता, "तुम्ही हे कसे केले?" तो म्हणाला, "ठीक आहे, मी एसक्यूएल इंजेक्शन वापरला."

तर, हे फक्त पाच वर्षांपूर्वीच आहे, आणि ते हवाई दलाच्या तळावर होते, बरोबर? तर, मला म्हणायचे आहे की कॉनच्या दृष्टीने ही गोष्ट अद्याप अगदी वास्तविक आहे आणि ती खरोखर भयानक परिणामासह वापरली जाऊ शकते. म्हणजे, रॉबिन या विषयावर असलेल्या कोणत्याही युद्धकथांविषयी जाणून घेण्याची आयडी उत्सुक असावी, परंतु ही सर्व तंत्रे अद्याप वैध आहेत. ते अजूनही बर्‍याच प्रकरणांमध्ये वापरले गेले आहेत आणि हा स्वतःला शिक्षित करण्याचा प्रश्न आहे, बरोबर?

रॉबिन ब्लॉर: तसेच होय. होय, काम करुन एसक्यूएल इंजेक्शनविरूद्ध बचाव करणे शक्य आहे. ही कल्पना का शोध लावली गेली आणि प्रथम प्रसारित केली गेली हे समजणे सोपे आहे, ती यशस्वी का केली गेली हे समजणे सोपे आहे, कारण आपण ते एका वेब पृष्ठावरील इनपुट फील्डमध्ये चिकटवून आपल्यासाठी डेटा परत मिळवू शकता किंवा मिळवू शकता. हे डेटाबेसमधील डेटा किंवा काहीही हटविण्यासाठी - आपण असे करण्यासाठी एसक्यूएल कोड इंजेक्ट करू शकता. परंतु मला आवडणारी गोष्ट ही आहे की आपल्याला माहिती आहे की, आपण प्रविष्ट केलेल्या प्रत्येक डेटाचे थोडेसे विश्लेषण करावे लागेल, परंतु एखाद्याने ते करण्याचा प्रयत्न केला हे शोधणे शक्य आहे. आणि हे खरोखरच मला वाटते की ते खरोखरच आहे, यामुळे लोक अजूनही त्यापासून दूर जात आहेत, याचा अर्थ असा की मला खरोखरच विचित्र वाटते की त्या सोडविण्यासाठी एक सोपा मार्ग नाही. तुम्हाला माहिती आहे, की प्रत्येकजण सहज वापरु शकतो, मला म्हणायचे आहे, विकी तिथे आहेच नाही?

विकी वीणा: ठीक आहे, एसक्यूएल अझर सारख्या काही ओलिस उपाय, मला असे वाटते की मशीन शिक्षणावर आधारित काही चांगल्या शोध पद्धती आहेत. कदाचित भविष्यकाळात जे काही घडणार होते तेच एक असे आहे की त्या आकाराने सर्व काही पूर्ण होऊ शकते. मला असे वाटते की उत्तर एक आकार सर्व काही बसत नाही, परंतु आपल्याकडे अशी मशीन्स आहेत जी आपला आकार काय आहे हे शिकू शकतील आणि आपण त्यास योग्य बसतील याची खात्री करुन घ्याल का? आणि म्हणूनच आपल्याकडे चुकीचे पॉझिटिव्ह असल्यास, आपण खरोखर काहीतरी असामान्य करीत आहात म्हणूनच नाही, कारण आपण अनुप्रयोगाद्वारे कधीच केले पाहिजे आणि कष्टाने प्रयत्न करावे लागतील.

मला वाटते की त्याची खरोखर अद्याप प्रचलित असलेली एक कारणे म्हणजे लोक अद्याप तृतीय-पक्ष अनुप्रयोगांवर अवलंबून असतात आणि आयएसव्ही व त्यावरील अनुप्रयोग कालांतराने गमावले जातात.तर, आपण अशा एका संस्थेबद्दल बोलाल ज्याने 2001 मध्ये लिहिलेले अभियांत्रिकी अनुप्रयोग विकत घेतले. आणि त्यांनी त्यास अद्ययावत केले नाही, कारण त्यावेळेपासून कोणतेही मोठे कार्यकारी बदल झाले नाहीत आणि त्या मूळ लेखकांचे एक प्रकार होते, ते अभियंता नव्हते. , ते डेटाबेस सुरक्षा तज्ञ नव्हते, त्यांनी अनुप्रयोगात योग्य मार्गाने गोष्टी केल्या नाहीत आणि ते सदिश असल्याचे समजले. माझा समज आहे की - मला वाटते तो लक्ष्य डेटा उल्लंघन, खरोखर मोठा होता - हल्ला वेक्टर त्यांच्या वातानुकूलन पुरवठादार्‍यांपैकी एकामार्गे झाला होता ना? तर, त्या तृतीय पक्षाची समस्या, आपण आपल्या स्वत: च्या विकासाच्या दुकानात असाल तर आपल्याकडे कदाचित असे काही नियम असू शकतात, जेव्हाही उदारपणे करा. एक संघटना म्हणून आपल्याकडे सर्व भिन्न प्रोफाइलसह शेकडो किंवा हजारो अनुप्रयोग चालू आहेत. मला असे वाटते की तिथेच मशीन लर्निंग आपल्याबरोबर येईल आणि आपल्याला खूप मदत करण्यास सुरवात करेल.

माझी युद्धाची कथा शैक्षणिक राहणीमान होती. मला एस क्यू एल इंजेक्शन हल्ला पाहायला मिळाला, आणि मला असं कधीच घडलं नव्हतं ते म्हणजे साधा वाचनीय एस क्यू एल वापरा. मी ओब्फस्केटेड पी एसक्यूएल हॉलिडे कार्ड या गोष्टी करतो; मला हे करायला आवडते, आपण हे एस क्यू एल शक्य तितक्या गोंधळात टाकता. थेरेस आता कित्येक दशकांपासून सी ++ कोड स्पर्धा चालवित आहेत आणि त्याच प्रकारची कल्पना. तर, तुम्हाला जे मिळाले ते एसक्यूएल इंजेक्शन होते जे ओपन स्ट्रिंग फील्डमध्ये होते, त्याने स्ट्रिंग बंद केली, सेमीकोलनमध्ये ठेवले आणि नंतर एक्झिक कमांड लावले ज्या नंतर मालिका असतील आणि मग ते मूलतः वापरत होते त्या संख्या बायनरीमध्ये टाकण्यासाठी कमांडिंग कमांड आणि नंतर त्या अक्षरे व्हॅल्यूज मध्ये टाका आणि मग ते कार्यान्वित करा. तर, असे नाही की आपण असे म्हटले आहे की "प्रॉडक्शन टेबलमधून स्टार्टअप हटवा", असं म्हणायला मिळालं, खरं तर ती संख्यात्मक फील्डमध्ये भरली गेली ज्यामुळे ते पहाणे खूप कठीण झाले. आणि एकदा आपण ते पाहिल्यानंतर, काय घडत आहे हे ओळखण्यासाठी, त्यास काही वास्तविक एसक्यूएल शॉट्स लागले, जे घडत आहे ते आकृती समजण्यासाठी सक्षम केले, कोणत्या क्षणी हे काम आधीच केले गेले होते.

रॉबिन ब्लॉर: आणि हॅकिंगच्या संपूर्ण जगामध्ये एक गोष्ट म्हणजे ती म्हणजे एखाद्याला एखादी कमकुवतपणा आढळल्यास आणि सामान्यपणे विकल्या गेलेल्या सॉफ्टवेअरच्या तुकड्यात गेल्यास आपणास माहित आहे की लवकरातली एक समस्या म्हणजे डेटाबेस पासवर्ड डेटाबेस बसवताना तुम्हाला देण्यात आले होते, वास्तविक खरं तर बरेच डाटाबेस डिफॉल्ट होते. आणि बर्‍याच डीबीएने कधीही ते बदलले नाही आणि म्हणूनच आपण त्यावेळेस नेटवर्कमध्ये जाणे व्यवस्थापित करू शकता; आपण फक्त तो संकेतशब्द वापरुन पहा आणि हे कार्य करत असल्यास, आपण नुकतीच लॉटरी जिंकली. आणि मजेशीर गोष्ट म्हणजे ती सर्व माहिती अत्यंत कार्यक्षमतेने आणि प्रभावीपणे डार्कनेट वेबसाइटवरील हॅकिंग समुदायामध्ये प्रसारित केली जाते. आणि त्यांना माहित आहे. तर, ते तेथे बरेच काही करू शकतात, काही उदाहरणे शोधू शकतात आणि स्वयंचलितपणे काही हॅकिंगचे शोषण त्या ठिकाणी फेकू शकतात आणि ते तिथेच आहेत. आणि मला वाटते, बरेच लोक जे कमीतकमी परिघावर आहेत या सर्वांमधून, हॅकिंग नेटवर्क असुरक्षाला किती वेगवान प्रतिसाद देते हे प्रत्यक्षात समजून घेऊ नका.

विकी वीणा: होय, मी पुढे जाण्यापूर्वी मला आणखी एक गोष्ट सांगायची होती ती म्हणजे क्रेडेन्शियल स्टफिंगची ही कल्पना आहे जी म्हणजे बर्‍यापैकी पॉप अप करत आहे, म्हणजे एकदाच तुमची प्रमाणपत्रे कोणाकडेही कोठेही चोरी झाली आहेत, कोणत्याही वेळी साइट, ती प्रमाणपत्रे पुन्हा बोर्डात पुन्हा वापरण्याचा प्रयत्न केला जात आहे. म्हणून, आपण डुप्लिकेट संकेतशब्द वापरत असल्यास, असे म्हणा की आपले वापरकर्ते असे असले तरी ते सांगू शकता, एखादी व्यक्ती कदाचित ओळखपत्रांचा एक संपूर्ण वैध सेट असल्याचे दिसते त्याद्वारे प्रवेश करू शकेल. तर, मी असे म्हणू शकतो की Ive ने माझा समान संकेतशब्द Amazonमेझॉन आणि माझ्या बँकेत वापरला होता, तसेच एका फोरममध्ये आणि त्या फोरममध्ये सॉफ्टवेअर हॅक केले होते, तसेच, त्याकडे माझे वापरकर्ता नाव आणि संकेतशब्द आहे आणि नंतर तेच वापरकर्ता नाव Amazonमेझॉन येथे वापरू शकतात किंवा ते ते बँकेत वापरतात. आणि जोपर्यंत बँकेचा प्रश्न आहे, तो पूर्णपणे वैध लॉगिन होता. आता, आपण पूर्णपणे अधिकृत प्रवेशाद्वारे वाईट क्रिया करू शकता.

तर, त्या प्रकारच्या अंतर्गत उल्लंघनाबद्दल आणि अंतर्गत वापराबद्दल मी जे बोलतो त्याकडे परत जाते. आपल्या संस्थेमध्ये असे लोक असतील जे बाह्य प्रवेशासाठी करतात त्याच संकेतशब्द अंतर्गत प्रवेशासाठी वापरत असतील, तर कदाचित आपणास अशी माहिती मिळाली असेल की एखाद्याने प्रवेश केला असेल आणि आपल्याला त्याबद्दल माहिती नसलेल्या एखाद्या अन्य साइटवर उल्लंघन करून आपली तोतयागिरी केली जाईल. आणि हा डेटा फार लवकर प्रसारित केला जातो. यापैकी याद्या आहेत, मला असे वाटते की ट्रॉय हंटने “मला वाहून टाकले आहे” असा सर्वात ताजी भार, त्याने सांगितले की त्याच्याकडे अर्धा अब्ज क्रेडेन्शियल्स आहेत, जे आपण या ग्रहावरील लोकसंख्येचा विचार करता तर - क्रेडेन्शियल स्टफिंगसाठी खरोखर मोठी संख्या तयार केली गेली आहे.

तर, मी जरा सखोल पाऊल टाकत आहे आणि एस क्यू एल सर्व्हर सुरक्षिततेबद्दल बोलतो. आता मी हे सांगू इच्छितो की येत्या 20 मिनिटांत तुमचा एसक्यूएल सर्व्हर सुरक्षित करण्यासाठी तुम्हाला आवश्यक असलेल्या सर्व गोष्टी देण्याचा मी प्रयत्न करीत नाही; ती थोडी उंच ऑर्डर दिसते. म्हणूनच, मी असे म्हणू इच्छितो की येथे ऑनलाइन गट आणि संसाधने आहेत जी आपण निश्चितपणे Google करू शकता, पुस्तके आहेत, मायक्रोसॉफ्टवर उत्तम सराव दस्तऐवज आहेत, एसक्यूएल सर्व्हरमधील व्यावसायिक सहयोगींसाठी एक सुरक्षा आभासी अध्याय आहे. ते सुरक्षा.pass.org वर आहेत आणि त्यांचा माझा विश्वास आहे की एसक्यूएल सर्व्हर सुरक्षा कशी करावी याबद्दल सखोल, मासिक वेबकास्ट आणि वेबकास्टचे रेकॉर्डिंग आहे. परंतु या काही गोष्टी आहेत ज्या मी तुम्हाला डेटा प्रोफेशनल्स म्हणून, आयटी प्रोफेशनल्स म्हणून, डीबीए म्हणून सांगत आहेत, तुम्हाला एसक्यूएल सर्व्हर सुरक्षिततेसह तुम्हाला माहिती असणे आवश्यक आहे हे जाणून घ्यावेसे वाटते.

तर प्रथम म्हणजे शारीरिक सुरक्षा. म्हणूनच, मी पूर्वी म्हटल्याप्रमाणे, भौतिक मीडिया चोरी करणे अजूनही सामान्य आहे. आणि म्हणून मी देव मशीनसह दिलेली परिस्थिती, चोरी झालेल्या देव मशीनवरील तुमच्या डेटाबेसच्या प्रतिसह - एक अत्यंत सामान्य व्हेक्टर आहे, तुम्हाला जाणीव असणे आवश्यक आहे आणि त्याविरुद्ध कारवाई करण्याचा प्रयत्न करणे आवश्यक आहे. बॅकअप सुरक्षिततेसाठी देखील हे खरे आहे, म्हणून जेव्हा जेव्हा आपण आपल्या डेटाचा बॅक अप घेता तेव्हा आपल्याला त्यास एनक्रिप्टेड बॅक अप घेण्याची आवश्यकता असते, आपल्याला सुरक्षित स्थानापर्यंत बॅक अप घेण्याची आवश्यकता असते. डेटाबेसमध्ये खरोखरच सुरक्षित असलेला हा डेटा, जेव्हा तो परीक्षेच्या यंत्रांवर परिघाच्या ठिकाणी जाऊ लागला, तेव्हा आपण पॅचिंगबद्दल थोडेसे सावधगिरी बाळगू, आपल्याला थोडेसे कमी मिळेल ज्या लोकांना त्यात प्रवेश आहे त्यांच्याविषयी सावधगिरी बाळगा. आपल्याला माहित असलेली पुढील गोष्ट, आपल्याला आपल्या संस्थेतील सार्वजनिक भागातील बर्‍याच वेगवेगळ्या लोकांकडून शोषणासाठी उपलब्ध असलेल्या एनक्रिप्टेड डेटाबेस बॅकअप प्राप्त झाले आहेत. तर, शारीरिक सुरक्षिततेबद्दल आणि अगदी सोप्या गोष्टीबद्दल विचार करा, कुणीतरी चालून आपल्या सर्व्हरमध्ये एक यूएसबी की बसवू शकेल? आपण परवानगी देऊ नये.

पुढील आयटम म्हणजे आपण प्लॅटफॉर्म सुरक्षा, म्हणून अद्ययावत ओएस, अप-टू-डेट पॅचेस याचा विचार करायचा आहे. विंडोजच्या जुन्या आवृत्त्या, एसक्यूएल सर्व्हरच्या जुन्या आवृत्त्यांवर रहाण्याबद्दल लोक ऐकून ऐकणे फार कंटाळवाणे आहे, असा विचार करून की केवळ प्लेची किंमत ही परवाना अपग्रेडची किंमत आहे, जे प्रकरण नाही. आम्ही सुरक्षिततेसह आहोत, हा एक डोंगर खाली जाणारा धारा आहे आणि जसजसा काळ पुढे जातो तसतसे अधिक शोषण आढळतात. या प्रकरणात मायक्रोसॉफ्ट आणि इतर गट जसे असतील तसे ते जुन्या सिस्टमला एका बिंदूवर अद्यतनित करतील आणि अखेरीस ते समर्थनापासून खाली पडतील आणि त्यांना यापुढे अद्ययावत करता येणार नाही, कारण देखभाल करण्याची ही न संपणारी प्रक्रिया आहे.

आणि म्हणूनच, आपण समर्थित ओएस वर असणे आवश्यक आहे आणि आपण आपल्या पॅचवर अद्ययावत असणे आवश्यक आहे आणि आम्ही अलीकडेच छाया दलालांप्रमाणेच सापडलो आहोत, काही प्रकरणांमध्ये मायक्रोसॉफ्टला आगामी होणार्‍या प्रमुख सुरक्षा उल्लंघनांबद्दल अंतर्दृष्टी असू शकते, सार्वजनिक, जाहीर करण्यापूर्वी, म्हणून स्वत: ला सर्व व्यवस्थित मोडू देऊ नका. आयडी ऐवजी डाउनटाइम घेणार नाही, आयडी ऐवजी प्रतीक्षा करा आणि त्यातील प्रत्येक वाचून निर्णय घ्या. हा पॅच का घडला हे आपल्याला समजल्यानंतर काही आठवड्यांपर्यंत लाइनचे मूल्य काय आहे हे आपल्याला कदाचित माहिती नसेल. तर, त्या वर रहा.

आपण आपले फायरवॉल कॉन्फिगर केलेले असावे. एसएनबी उल्लंघनात हे धक्कादायक होते की फायरवॉल पूर्णपणे इंटरनेटवर उघडलेले किती लोक एसक्यूएल सर्व्हरच्या जुन्या आवृत्त्या चालवित आहेत, जेणेकरून कोणालाही त्यांच्या सर्व्हरसह जे हवे असेल ते करु शकेल. आपण फायरवॉल वापरला पाहिजे. आपण अधूनमधून नियम कॉन्फिगर केले पाहिजेत किंवा आपण आपला व्यवसाय करत असलेल्या मार्गाने विशिष्ट अपवाद केले पाहिजेत ही एक अचूक किंमत आहे. आपल्याला आपल्या डेटाबेस सिस्टममधील पृष्ठभागाचे क्षेत्रफळ नियंत्रित करण्याची आवश्यकता आहे - आपण त्याच मशीनवर आयआयएस सारख्या सेवा किंवा वेब सर्व्हरची स्थापना करत आहात? समान डेटाबेस सामायिक करीत आहे, आपले डेटाबेस आणि आपला खाजगी डेटा म्हणून समान मेमरी जागा सामायिक करत आहात? ते न करण्याचा प्रयत्न करा, त्यास वेगळे करण्याचा प्रयत्न करा, पृष्ठभाग कमी ठेवा, जेणेकरून आपल्याला डेटाबेसच्या वरच्या बाजूस हे सर्व सुरक्षित आहे याची काळजी करण्याची चिंता करण्याची गरज नाही. आपण अशा प्रकारचे शारीरिकरित्या वेगळे करू शकता, प्लॅटफॉर्म, त्यांना वेगळे करू शकता, स्वत: ला थोडासा श्वास घेण्याची खोली द्या.

आपल्याकडे आपल्या सर्व डेटामध्ये प्रवेश करण्यास सक्षम असणारे सर्वत्र सुपर प्रशासक चालत नसावेत. ओएस प्रशासक खात्यांना आपल्या डेटाबेसमध्ये किंवा डेटाबेसमधील एन्क्रिप्शनद्वारे मूलभूत डेटामध्ये प्रवेश करण्याची आवश्यकता असू शकत नाही, जे एका मिनिटात चांगले बोलते. आणि डेटाबेस फायलींमध्ये प्रवेश करणे, आपल्याला तसेच प्रतिबंधित करणे आवश्यक आहे. आपण म्हणायचे तर त्याचा मूर्खपणाचा प्रकार, डेटाबेसद्वारे कोणीतरी या डेटाबेसमध्ये प्रवेश करू शकत नाही; एसक्यूएल सर्व्हर स्वतःच त्यांना त्यात प्रवेश करण्याची परवानगी देत ​​नाही, परंतु नंतर ते फिरू शकतात, वास्तविक एमडीएफ फाईलची एक प्रत घ्या, त्यास हलवा, त्यास त्यांच्या स्वत: च्या एस क्यू एल सर्व्हरशी जोडा, आपण खरोखर खूप साध्य केले नाही.

कूटबद्धीकरण, तर एन्क्रिप्शन ही ती प्रसिद्ध द्वि-मार्ग तलवार आहे. आपण ओएस स्तरावर आणि एसक्यूएल आणि विंडोजसाठी गोष्टी करण्याचा समकालीन मार्ग बिटलोकरकडे आणि डेटाबेस स्तरावर ज्याला टीडीई किंवा पारदर्शक डेटा एन्क्रिप्शन म्हणतात त्याद्वारे बर्‍याच स्तरांचे एनक्रिप्शन उपलब्ध आहे. म्हणूनच उर्वरित डेटा कूटबद्ध ठेवण्याच्या या दोन्ही मार्ग आहेत. आपण आपला डेटा अधिक विस्तृतपणे कूटबद्ध ठेवू इच्छित असाल तर आपण एन्क्रिप्टेड करू शकता - क्षमस्व, मी पुढे एक प्रकारचे पाऊल ठेवले आहे. आपण एनक्रिप्टेड कनेक्शन करू शकता जेणेकरून जेव्हा ते ट्रान्झिटमध्ये असेल, तरीही ते एन्क्रिप्ट केलेले असेल जेणेकरून जर कोणी ऐकत असेल किंवा हल्ल्याच्या मध्यभागी एखादा माणूस असेल तर आपल्याला वायरवरून त्या डेटाचे काही संरक्षण मिळाले आहे. आपले बॅकअप एन्क्रिप्ट करणे आवश्यक आहे, जसे मी म्हटल्याप्रमाणे ते कदाचित इतरांपर्यंत प्रवेशयोग्य असतील आणि नंतर, आपण ते मेमरीमध्ये आणि वापराच्या दरम्यान एन्क्रिप्ट केलेले करू इच्छित असाल तर आपल्याला कॉलम एनक्रिप्शन मिळाले आणि नंतर एसक्यूएल २०१ मध्ये “नेहमीच कूटबद्ध” असा विचार आहे जिथे डिस्कवर, मेमरीमध्ये, वायरवर प्रत्यक्षात डेटाचा वापर करत असलेल्या अ‍ॅप्लिकेशनपर्यंत सर्व प्रकारे एनक्रिप्टेड आहे.

आता हे सर्व कूटबद्धीकरण विनामूल्य नाहीः थेरस सीपीयू ओव्हरहेड आहे, काहीवेळा स्तंभ एन्क्रिप्शन आणि नेहमीच-एन्क्रिप्टेड प्रकरणात देखील आहे, त्या डेटाच्या प्रयत्नांच्या क्षमतेनुसार कार्यक्षमतेवर परिणाम होतो. तथापि, हे एनक्रिप्शन, जर ते योग्यरित्या एकत्र ठेवले तर याचा अर्थ असा आहे की जर एखाद्याने आपल्या डेटावर प्रवेश केला तर नुकसान मोठ्या प्रमाणात कमी होते, कारण ते ते मिळविण्यात सक्षम होते आणि त्यानंतर ते त्यासह काहीही करण्यास सक्षम नाहीत. तथापि, ransomware ज्या प्रकारे कार्य करते त्या मार्गाने हा आहे की कोणीतरी आत जाते आणि त्यांच्या स्वत: च्या प्रमाणपत्रात किंवा त्यांच्या स्वत: च्या संकेतशब्दासह या वस्तू चालू करते आणि आपल्याला त्यात प्रवेश नाही. तर, आपण हे करीत आहात आणि आपण त्यात प्रवेश करीत आहात हे सुनिश्चित करणे महत्वाचे का आहे, परंतु आपण ते देत नाही, इतरांसाठी आणि आक्रमणकर्त्यांसाठी खुला आहे.

आणि नंतर, सुरक्षा तत्त्वे - मी या ठिकाणी बेलेबॉर करणार नाही, परंतु एसक्यूएल सर्व्हरमध्ये प्रत्येक वापरकर्ता सुपर अ‍ॅडमिन म्हणून चालत नाही याची खात्री करा. आपल्या विकसकांना हे हवे असेल, भिन्न वापरकर्त्यांनी त्यांना हवे असेल - वैयक्तिक आयटमसाठी प्रवेश मागितल्यामुळे ते निराश झाले आहेत - परंतु आपण त्याबद्दल परिश्रम घेण्याची आवश्यकता आहे आणि जरी हे अधिक क्लिष्ट असले तरीही ऑब्जेक्ट्स आणि डेटाबेसमध्ये प्रवेश द्या आणि चालू असलेल्या कामांसाठी वैध असलेल्या स्कीमांचा आणि त्यात एक विशेष केस आहे, ज्याचा अर्थ असा आहे की एक खास लॉगिन असेल, तर याचा अर्थ असा नाही की सरासरी केस वापरकर्त्यासाठी हक्कांची उन्नती होईल.

आणि मग त्यात नियामक अनुपालन विचार आहेत जे या प्रकरणात गुंतागुंत करतात आणि काही प्रकरणांमध्ये प्रत्यक्षात त्यांच्या स्वत: च्या मार्गाने जाऊ शकते - म्हणून एचआयपीएए, सॉक्स, पीसीआय - या सर्व भिन्न बाबी आहेत. आणि जेव्हा आपण एखादे ऑडिट करता तेव्हा आपण हे पाळत आहात की आपण त्याचे अनुपालन राहण्यासाठी कारवाई करीत आहात हे दर्शविण्याची अपेक्षा केली जाईल. आणि म्हणूनच या गोष्टींचा मागोवा घेण्यासारखे बरेच आहे, मी डीबीए टू-डू सूची म्हणून म्हणेन, आपण सुरक्षितता भौतिक एन्क्रिप्शन कॉन्फिगरेशनची खात्री करुन घेण्याचा प्रयत्न करीत आहात, आपण त्या अनुपालन हेतूने त्या डेटावरील प्रवेशाचे ऑडिट केले जात असल्याचे सुनिश्चित करण्याचा प्रयत्न करीत आहात. , आपली संवेदनशील स्तंभ आपली खात्री आहे की ते काय आहेत ते कोठे आहेत हे आपल्याला ठाऊक आहे, आपण कोणास एन्क्रिप्ट केले पाहिजे आणि प्रवेश पाहात आहात याची खात्री करुन. आणि कॉन्फिगरेशन आपण अधीन असलेल्या नियामक मार्गदर्शक तत्त्वांशी संरेखित असल्याचे सुनिश्चित करत आहे. आणि गोष्टी बदलत असताना आपल्याला हे सर्व अद्ययावत ठेवावे लागेल.

तर, हे करण्यासारखे बरेच आहे आणि म्हणून मी हे तिथेच सोडले तर मी असे म्हणा. परंतु त्यासाठी बरीच भिन्न साधने आहेत आणि म्हणूनच, जर मी गेल्या काही मिनिटांत करू शकलो तर मला त्याकरिता आमच्याकडे आयडेरामध्ये असलेली काही साधने दर्शवायची होती. आणि ज्या दोन गोष्टींबद्दल मला आज बोलायचे आहे ते आहेत एस क्यू एल सिक्युअर आणि एस क्यू एल अनुपालन व्यवस्थापक. कोणत्या प्रकारच्या कॉन्फिगरेशनची असुरक्षा ओळखण्यास मदत करण्यासाठी एसक्यूएल सिक्योर हे आमचे साधन आहे. आपली सुरक्षा धोरणे, आपल्या वापरकर्त्याच्या परवानग्या, पृष्ठभाग क्षेत्र कॉन्फिगरेशन. आणि त्यात आपल्याला विविध नियामक चौकटींचे पालन करण्यास मदत करण्यासाठी टेम्पलेट्स आहेत. स्वतःच, शेवटची ओळ ही कदाचित लोकांसाठी विचारात घेण्यामागील कारण असू शकते. कारण या भिन्न नियमांचे वाचन करणे आणि त्याचा अर्थ काय आहे हे ओळखणे, पीसीआय आणि नंतर ते सर्व मार्ग माझ्या दुकानात माझ्या एस क्यू एल सर्व्हरपर्यंत घेऊन जाणे, बरेच काम करते. असे काहीतरी आहे ज्यासाठी आपण बरेच सल्लागार पैसे देऊ शकता; आम्ही गेलो आणि सल्लामसलत केली की आम्ही त्या टेम्पलेट्स काय आहेत याविषयी विविध ऑडिटिंग कंपन्या इत्यादींबरोबर काम केले आहे. ही जागा जर असेल तर ऑडिट पास होण्याची शक्यता आहे. आणि मग आपण ते टेम्पलेट वापरू शकता आणि आपल्या वातावरणात त्या पाहू शकता.

आमच्याकडे एसक्यूएल अनुपालन व्यवस्थापकाच्या स्वरूपात आणखी एक प्रकारची बहीण साधन आहे आणि कॉन्फिगरेशन सेटिंग्जबद्दल एसक्यूएल सिक्योर हे येथे आहे. एस क्यू एल अनुपालन व्यवस्थापक हे कोणाकडून, केव्हा केले गेले ते पाहण्याबद्दल आहे. तर, त्याचे ऑडिटिंग आहे, जेणेकरून हे आपल्यास क्रियाकलापांचे उद्दीष्ट असल्याचे निरीक्षण करण्याची परवानगी देते आणि गोष्टींमध्ये कोण प्रवेश करीत आहे हे आपल्याला शोधू आणि ट्रॅक करू देते. कोणीतरी, एखाद्या व्यक्तीचे उदाहरण म्हणजे एखाद्या प्रसिद्ध व्यक्तीने आपल्या रूग्णालयात तपासणी केली होती, तर कुणी उत्सुकतेतून बाहेर जाऊन कोणी त्यांची माहिती शोधत होता? त्यांच्याकडे असे करण्याचे काही कारण होते? आपण ऑडिटच्या इतिहासावर एक नजर टाकू शकता आणि त्या रेकॉर्डमध्ये कोण प्रवेश करीत आहे हे काय चालले आहे ते पाहू शकता. आणि आपण यास संवेदनशील स्तंभ ओळखण्यास मदत करण्यासाठी साधने आहेत हे ओळखू शकता, म्हणून आपणास वाचणे आवश्यक नाही आणि ते सर्व स्वतः करा.

तर, मी गेल्या काही मिनिटांत पुढे जाईन आणि त्यातील काही साधने येथे दर्शवितो - आणि कृपया त्यास सखोल डेमो म्हणून विचार करू नका. मी एक उत्पादन व्यवस्थापक आहे, विक्री अभियंता नाही, म्हणून मी या चर्चेशी संबंधित असलेल्या मला वाटणार्‍या काही गोष्टी मी तुम्हाला दाखवणार आहे. तर हे आमचे एस क्यू एल सुरक्षित उत्पादन आहे. आणि आपण येथे पाहू शकता, इव्हला अशा प्रकारचे उच्च-स्तरीय अहवाल कार्ड मिळाले. मी हे संपवले, काल असे वाटते. आणि हे मला व्यवस्थित सेट न केलेल्या काही गोष्टी आणि योग्यरित्या सेट केलेल्या काही गोष्टी दर्शविते. तर आपण येथे केल्या गेलेल्या 100 पेक्षा जास्त भिन्न धनादेश पाहू शकता. आणि मी हे पाहू शकतो की मी करीत असलेल्या बॅकअपवर माझे बॅकअप कूटबद्धीकरण आहे, मी बॅकअप एन्क्रिप्शन वापरत नाही. माझे एसए खाते स्पष्टपणे "एसए खाते" असे नाव दिले किंवा अक्षम केले नाही. सार्वजनिक सर्व्हरच्या भूमिकेस परवानगी आहे, म्हणून या सर्व गोष्टी मी बदलण्याकडे पाहू इच्छित आहे.

माझ्याकडे येथे धोरण सेट केले गेले आहे, म्हणून मला माझ्या सर्व्हरवर अर्ज करण्यासाठी नवीन धोरण सेट करायचे असेल तर आम्हाला ही सर्व अंगभूत पॉलिसी मिळाली. तर, मी विद्यमान पॉलिसी टेम्प्लेट वापरत आहे आणि आपण माझ्याकडे सीआयएस, एचआयपीएए, पीसीआय, एसआर आणि चालू असल्याचे पाहू शकता आणि लोकांना प्रत्यक्षात आवश्यक असलेल्या गोष्टींच्या आधारे आम्ही सतत अतिरिक्त धोरणे जोडण्याच्या प्रक्रियेत आहोत. आणि आपण एक नवीन धोरण देखील तयार करू शकता, जेणेकरून आपले ऑडिटर काय शोधत आहे हे आपल्याला माहिती असल्यास आपण ते स्वतः तयार करू शकता. आणि जेव्हा आपण असे करता तेव्हा आपण या सर्व भिन्न सेटिंग्ज पैकी निवडू शकता, जे आपल्याला सेट करणे आवश्यक आहे, काही बाबतींत, आपल्याकडे आहे- मला परत जाऊ द्या आणि पूर्व-निर्मित असलेल्यापैकी एक शोधू शकाल. हे सोयीस्कर आहे, मी म्हणू शकतो, HIPAA निवडू शकतो - माझ्याकडे आधीपासूनच HIPAA आला आहे, माझे वाईट - पीसीआय आहे आणि नंतर मी इकडे तिकडे क्लिक करीत असताना, मी प्रत्यक्षात हा नियम असलेल्या भागाचा बाह्य क्रॉस-संदर्भ पाहू शकतो. शी संबंधित. मग हे नंतर आपल्याला मदत करेल, जेव्हा आपण हे शोधण्याचा प्रयत्न करीत असता तेव्हा मी हे का सेट करत आहे? मी हे पाहण्याचा प्रयत्न का करीत आहे? हे कोणत्या विभागाशी संबंधित आहे?

यामध्ये एक चांगले साधन देखील आहे जे आपल्याला आपल्या वापरकर्त्यांना आत जा आणि ब्राउझ करू देते, म्हणूनच आपल्या वापरकर्त्याच्या भूमिकांचा शोध घेण्याबद्दल कठीण एक म्हणजे ती आहे, मी येथे एक बार पाहणार आहे. तर, जर मी माझ्यासाठी परवानग्या दाखवल्या तर, पाहूया, येथे एक वापरकर्ता निवडू. परवानग्या दर्शवा. मी या सर्व्हरसाठी नियुक्त केलेल्या परवानग्या पाहू शकतो, परंतु नंतर मी येथे क्लिक करू आणि प्रभावी परवानग्यांची गणना करू शकेन, आणि त्या आधारे मला संपूर्ण यादी दिली जाईल, म्हणून या प्रकरणात हे प्रशासक आहे, तर ते इतके रोमांचक नाही, परंतु मी करू शकलो जा आणि वेगवेगळे वापरकर्ते निवडा आणि त्यांच्या मालकीच्या भिन्न गटांवर आधारित त्यांच्या प्रभावी परवानग्या काय आहेत ते पहा. आपण स्वत: हून हे करण्याचा प्रयत्न केल्यास, प्रत्यक्षात थोडी त्रास होऊ शकतो, हे समजून घेण्यासाठी, ठीक आहे की हा वापरकर्ता या गटांचा सदस्य आहे आणि म्हणूनच या गोष्टींचा गट, इत्यादी माध्यमातून प्रवेश आहे.

तर, हे उत्पादन ज्या प्रकारे कार्य करते त्याप्रमाणे स्नॅपशॉट्स लागतात, म्हणूनच सर्व्हरचा नियमितपणे स्नॅपशॉट घेण्याची खरोखरच ही फार कठीण प्रक्रिया नाही आणि मग ती वेळोवेळी त्या स्नॅपशॉट्स ठेवते जेणेकरुन आपण बदलांची तुलना करू शकता. म्हणून, परफॉर्मन्स मॉनिटरिंग टूलप्रमाणे पारंपारिक अर्थाने हे सतत देखरेख ठेवत नाही; हे असे काहीतरी आहे जे तुम्ही दररोज रात्री एकदा चालवायला सेट केले असेल, आठवड्यातून एकदा - तथापि बर्‍याचदा तुम्हाला वैध वाटले असेल - जेणेकरून जेव्हा आपण विश्लेषण करत असता आणि आपण थोडे अधिक करत असता तेव्हा आपण खरोखर आमच्या साधनामध्ये कार्य करीत आहात. आपण आपल्या सर्व्हरवर इतका परत कनेक्ट होत नाही, म्हणून अशा प्रकारच्या स्थिर सेटिंग्जचे अनुपालन करण्यासाठी, हे कार्य करण्यासाठी एक छान छान साधन आहे.

मी तुम्हाला दर्शवू इच्छित असलेले अन्य साधन आमचे अनुपालन व्यवस्थापक साधन आहे. अनुपालन व्यवस्थापक अधिक सतत मार्गाने परीक्षण करीत आहे. आणि आपल्या सर्व्हरवर कोण काय करीत आहे हे पहात आहे आणि आपल्याला त्याकडे एक नजर टाकण्याची परवानगी देतो. तर, शेवटच्या काही तासांत मी येथे काय केले आहे, इव्हने काही समस्या निर्माण करण्याचा प्रयत्न केला. तर, येथे मला समस्या आली की नाही हे समजले, मला कदाचित त्याबद्दल माहित असावे, कोणीतरी प्रत्यक्षात लॉगिन तयार केले आहे आणि सर्व्हरच्या भूमिकेत जोडले आहे. म्हणून, मी आत गेलो आणि त्याकडे एक नजर टाकल्यास, मी पाहू शकतो - मला अंदाज आहे की मी तिथे राइट क्लिक करू शकत नाही, मी काय चालले आहे ते पाहू शकतो.तर, हा माझा डॅशबोर्ड आहे आणि मी पाहू शकतो की आज थोड्या दिवसांपूर्वी माझ्याकडे अनेक अयशस्वी लॉगिन होते. माझ्याकडे सुरक्षेचा मोठा समूह, डीबीएल क्रियाकलाप होता.

तर, मी माझ्या ऑडिट इव्हेंट्सकडे जाऊ आणि पहा. येथे Ive ला माझे ऑडिट इव्हेंट्स श्रेणी आणि लक्ष्य ऑब्जेक्टनुसार गटबद्ध केले गेले आहेत, म्हणून मी आधीपासून त्या सुरक्षिततेवर नजर टाकल्यास, मी डेमो न्यूझर पाहू शकतो, हा तयार सर्व्हर लॉगिन झाला. आणि मी पाहू शकतो की लॉगिन एसएने येथे 2:42 वाजता, डेमो न्यूयूझर खाते तयार केले. आणि मग मी हे पाहू शकतो की या बदल्यात सर्व्हरवर लॉगिन जोडा, हे डेमो न्यूझर सर्व्हर अ‍ॅडमिन गटामध्ये जोडले गेले, ते सेटअप अ‍ॅडमिन गटामध्ये जोडले गेले, ते सिसॅडमिन गटात जोडले गेले. तर, असे झाले की मला जे काही पाहिजे आहे ते जाणून घ्यायचे आहे. माझ्या टेबलातील संवेदनशील स्तंभांचा मागोवा घेण्यात आला म्हणून मी हे देखील स्थापित केले आहे, जेणेकरून मी त्यात प्रवेश करतो हे मी पाहू शकतो.

तर, येथे माझ्याकडे दोन जण निवडले गेले आहेत जे अ‍ॅडव्हेंचर वर्क्स मधून माझ्या व्यक्तीच्या टेबलावर आल्या आहेत. आणि मी एक कटाक्ष पाहू शकतो आणि त्या अ‍ॅडव्हेंचर वर्क्स टेबलवर असलेल्या वापरकर्त्या एसएने व्यक्ती डॉट व्यक्तीकडून निवडलेल्या दहापट तारा केला आहे. म्हणून कदाचित माझ्या संस्थेत लोकांनी डॉट व्यक्तीकडून निवडलेले तारे करावे किंवा मी केवळ काही विशिष्ट वापरकर्त्यांकडून अशी अपेक्षा करतो आणि मी येथे हे पाहत आहे. तर, आपल्याला आपल्या ऑडिटिंगच्या संदर्भात जे हवे आहे ते फ्रेमवर्कच्या आधारे आम्ही ते सेट करू शकतो आणि हे अधिक केंद्रित साधन आहे. हे आवृत्तीवर अवलंबून एसक्यूएल ट्रेस किंवा एसक्यूएलएक्स इव्हेंट वापरत आहे. आणि हे आपणास आपल्या सर्व्हरवर सामावून घेण्यासाठी काही हेडरूम असणे आवश्यक आहे, परंतु त्यापैकी एक म्हणजे विमा सारख्या प्रकारची, जी आमच्याकडे कार विमा नसल्यास चांगली आहे - ही आम्ही खर्च करू शकत नाही घ्यावे लागेल - परंतु आपल्याकडे असे सर्व्हर असल्यास कोणाकडे आपण काय करीत आहात याचा मागोवा ठेवणे आवश्यक असल्यास आपल्याकडे थोडेसे अतिरिक्त हेडरूम आणि हे करण्यासाठी एक साधन असावे लागेल. आपण आमचे साधन वापरत असाल किंवा आपण स्वतः ते रोल करीत असलात तरीही, आपण नियामक अनुपालन हेतूंसाठी ही माहिती घेण्यास शेवटी जबाबदार आहात.

म्हणून मी म्हटल्याप्रमाणे, सखोल डेमो नाही, फक्त एक द्रुत, लहान सारांश. मला या एसक्यूएल कॉलम सर्चच्या रूपात आपल्याला एक द्रुत, लहान विनामूल्य साधन देखील दर्शवायचे आहे, जे आपल्या वातावरणात कोणते स्तंभ संवेदनशील माहिती असल्याचे दिसत आहेत हे ओळखण्यासाठी आपण वापरू शकता. तर, आमच्याकडे बर्‍याच शोध कॉन्फिगरेशन आहेत ज्यात त्यामध्ये सामान्यत: संवेदनशील डेटा असलेल्या स्तंभांची भिन्न नावे शोधली जात आहेत आणि त्यानंतर Ive ला त्यांची ओळख पटली आहे याची संपूर्ण यादी मिळाली. Ive मध्ये त्यापैकी १२० मिळाले आणि मग मी ती येथे निर्यात केली, जेणेकरून मी त्यांचा वापर करुन असे म्हणू शकेन की मी मधल्या नावावर एक व्यक्ती डॉट व्यक्ती किंवा विक्री कर दर इ. चा प्रवेश शोधत आहे.

मला माहित आहे की आमच्या वेळेच्या शेवटी या गोष्टी ठीक झाल्या आहेत. आणि हेच खरं म्हणजे आपल्याला दर्शवायचं आहे, म्हणून माझ्यासाठी काही प्रश्न?

एरिक कवानाग: माझ्याकडे तुमच्यासाठी काही चांगले आहेत. मी हे येथे वर स्क्रोल करते. उपस्थितांपैकी एक खरोखर चांगला प्रश्न विचारत होता. त्यातील एक कामगिरी कर बद्दल विचारत आहे, म्हणून मला माहित आहे की ते निराकरण ते निराकरण करण्यासाठी भिन्न आहे, परंतु आयडीआरए सुरक्षा साधने वापरण्यासाठी परफॉर्मन्स टॅक्स म्हणजे काय याची आपल्याला सामान्य कल्पना आहे का?

विकी वीणा: तर, एस क्यू एल सिक्योर वर, जसे मी म्हणालो, ते अगदीच कमी आहे, काही अधूनमधून स्नॅपशॉट घेणार आहे. आणि जरी आपण बर्‍याचदा चालत असाल तरीही, सेटिंग्जविषयी स्थिर माहिती मिळवित आहे आणि म्हणून ती अगदीच कमी, अगदी नगण्य आहे. अनुपालन व्यवस्थापकाच्या दृष्टीने ते आहे-

एरिक कवानाग: एक टक्का प्रमाणे?

विकी वीणा: जर मला टक्केवारी द्यायची असेल तर, ती एक टक्के किंवा त्यापेक्षा कमी असेल. एसएसएमएस वापरण्याच्या आणि सुरक्षा टॅबमध्ये जाण्याच्या आणि गोष्टी विस्तृत करण्याच्या क्रमाने याची मूलभूत माहिती. अनुपालन बाजूने, हे बरेच उच्च - मी असे का म्हटले की त्यास थोडे हेडरूम आवश्यक आहे - कार्यप्रदर्शन मॉनिटरिंगच्या बाबतीत आपल्याकडे असलेल्या पलीकडे हे त्याचे कार्य चांगले आहे. आता मी लोकांना यापासून दूर ठेवू इच्छित नाही, अनुपालनाची देखरेखीची युक्ती आहे आणि त्याचे ऑडिटिंग आपण ज्यावर कारवाई करीत आहोत त्याचे केवळ आपणच ऑडिट करत आहात हे सुनिश्चित करणे आवश्यक आहे. म्हणून, एकदा आपण हे फिल्टर करण्यासाठी असे म्हणायला लागला की, “अहो, लोक या विशिष्ट टेबलांमध्ये कधी प्रवेश करतात हे मला जाणून घ्यायचे आहे आणि जेव्हा जेव्हा लोक या ठिकाणी प्रवेश करतात तेव्हा मला या विशिष्ट कृती करतात हे जाणून घ्यायचे आहे,” तर मग या गोष्टी किती वेळा असतात यावर आधारित असेल घडत आहे आणि आपण किती डेटा तयार करीत आहात. जर आपण असे म्हणाल्यास, “यापैकी कोणत्याही टेबलावर कधीही न घडणा select्या प्रत्येक निवडीचे मला पूर्ण एसक्यूएल हवे आहे,” तर ते शक्यतो गिगाबाइट्स आणि गिगाबाइट डेटा असणार आहे जे एस क्यू एल सर्व्हरद्वारे विश्लेषित केले जाणारे आहे, आमच्या उत्पादनात इ. .

जर आपण ते खाली ठेवले तर ते कदाचित आपल्यास सामोरे जाण्यापेक्षा अधिक माहिती असेल. जर आपण त्यास एका लहान सेटवर नेले असेल, जेणेकरुन दररोज तुम्हाला दोनशे कार्यक्रम मिळतील, तर हे निश्चितपणे खूपच कमी असेल. तर, खरोखरच, काही मार्गांनी, मर्यादेपर्यंत आकाश सोडले आहे. आपण सर्व गोष्टींसाठी सर्व देखरेखीसाठी सर्व सेटिंग्ज चालू केल्यास, होय, ती 50 टक्के कामगिरी ठरेल. परंतु जर आपण त्यास अधिक मध्यम, मध्यम पातळी मानणार्‍या मार्गावर बदलत असाल तर, मी कदाचित डोळ्यांनो 10 टक्के? हे खरोखर आपल्या त्या कामावर अवलंबून असलेल्या गोष्टींमध्ये ही एक आहे.

एरिक कवानाग: हो बरोबर. हार्डवेअर बद्दल दुसरा प्रश्न आहे. आणि त्यानंतर, हार्डवेअर विक्रेते गेममध्ये येत आहेत आणि सॉफ्टवेअर विक्रेत्यांसह खरोखर सहकार्य करीत आहेत आणि मी प्रश्नोत्तर विंडोद्वारे उत्तर दिले. मला एक विशिष्ट प्रकरण माहित आहे की, क्लौडेरा इंटेलमध्ये काम करीत आहे जेथे इंटेलने त्यामध्ये मोठी गुंतवणूक केली आहे आणि कॅल्क्यूलसचा एक भाग म्हणजे क्लौडेराला चिप डिझाइनमध्ये लवकर प्रवेश मिळेल आणि अशा प्रकारे चिप स्तरामध्ये सुरक्षा मिळविण्यास सक्षम असेल. आर्किटेक्चर, जे खूपच प्रभावी आहे. परंतु तरीही, तिथून बाहेर पडण्यासारखे काहीतरी आहे आणि तरीही दोन्ही बाजूंनी त्याचे शोषण केले जाऊ शकते. सुरक्षा प्रोटोकॉलवरील सॉफ्टवेअर विक्रेत्यांसह सहयोग करण्यासाठी हार्डवेअर विक्रेत्यांच्या कोणत्याही ट्रेंड किंवा कलविषयी आपल्याला माहिती आहे?

विकी वीणा: होय, प्रत्यक्षात माझा विश्वास आहे की मायक्रोसॉफ्टने काही एन्क्रिप्शन कार्यासाठी मेमरीबोर्डसाठी आपल्या मुख्य मेमरीपासून विभक्त असलेल्या स्वतंत्र चिपांवर प्रत्यक्षात काम करण्यासाठी सहकार्य केले आहे जेणेकरून त्यातील काही सामग्री शारीरिकरित्या विभक्त आहे. आणि माझा असा विश्वास आहे की मायक्रोसॉफ्टकडून विक्रेत्यांकडे जाण्यासाठी असे काहीतरी घडले होते की ते असे म्हणू शकले की “आपण हे बनवण्याच्या मार्गावर येऊ शकतो, मुळात त्याची चिंता न करणारी मेमरी, मी बफर ओव्हरफ्लोच्या माध्यमातून या स्मृती मिळवू शकत नाही , कारण तिथेही नाही, काही अर्थाने, म्हणून मला माहित आहे की त्यातील काही घडत आहे. ”

एरिक कवानाग: हो

विकी वीणा: बहुधा बहुधा खरोखरच खरोखरच खरोखरच मोठे विक्रेत्या असतील.

एरिक कवानाग: हो मी हे पाहण्याची उत्सुकता आहे आणि कदाचित रॉबिन, जर आपल्याकडे वेगवान सेकंद असेल तर वर्षानुवर्षे आपला अनुभव जाणून घेण्याची आयडी उत्सुक असेल, कारण हार्डवेअरच्या बाबतीत, वास्तविक भौतिक विज्ञानाच्या बाबतीत जे आपण टाकत आहात विक्रेत्याच्या बाजूने ती माहिती दोन्ही बाजूंनी जाऊ शकते आणि सैद्धांतिकदृष्ट्या आम्ही दोन्ही बाजूंकडे बर्‍यापैकी द्रुतगतीने जाऊ, मग डिझाइनच्या दृष्टीकोनातून, सुरक्षिततेच्या दृष्टीकोनातून हार्डवेअरचा अधिक काळजीपूर्वक उपयोग करण्याचा काही मार्ग आहे का? तुला काय वाटत? रॉबिन, तू निःशब्द आहेस?

रॉबिन ब्लॉर: हा हा. माफ करा, मी येथे आहे; मी फक्त प्रश्न विचारात आहे. खरं सांगायचं झालं तर मला एक मत मिळालं नाही, ते माझे असे क्षेत्र आहे ज्याकडे मी लक्षपूर्वक सखोलतेने पाहिले आहे, म्हणून मी एक प्रकारचा आहे, तुम्हाला माहिती आहे मी एक मत शोधू शकतो, परंतु मला खरोखर माहित नाही. मी सॉफ्टवेअरमध्ये सुरक्षित राहण्यास प्राधान्य देतो, मुळात मी फक्त या मार्गाने खेळतो.

एरिक कवानाग: हो पण, लोकांनो, तासाभरात बर्न केले आणि येथे बदल करा. विकी हार्पला तिच्या वेळ आणि लक्ष दिल्याबद्दल धन्यवाद - तुमचा सर्व वेळ आणि लक्ष देऊन; आम्ही या गोष्टी दाखवल्याबद्दल आपले कौतुक करतो. ही एक मोठी गोष्ट आहे; हे लवकरच कधीही दूर होणार नाही. हा एक मांजर-आणि-माउस गेम चालू राहतो आणि जात राहतो. आणि म्हणूनच काही कंपन्या तेथेच राहिल्याबद्दल त्यांचे आभारी होते, सुरक्षितता सक्षम करण्यावर लक्ष केंद्रित केले, परंतु विक्कीने अगदी दिवस उजाडताच तिच्या सादरीकरणात थोडीशी चर्चा केली आणि याबद्दल बोलतांना, संस्थांमधील तिथल्या लोकांबद्दल ज्यांना याविषयी फार काळजीपूर्वक विचार करण्याची गरज आहे. फिशिंग हल्ले, अशा प्रकारचे सामाजिक अभियांत्रिकी आणि आपल्या लॅपटॉपवर धरून ठेवा - कॉफी शॉपवर सोडून देऊ नका! आपला संकेतशब्द बदला, मुलभूत गोष्टी करा आणि आपल्याला तेथे 80 टक्के मार्ग मिळेल.

तर, त्या बरोबर, लोक आपणास निरोप देणार आहेत, आपला वेळ आणि लक्ष दिल्याबद्दल पुन्हा एकदा धन्यवाद. पुढच्या वेळी भेटू, काळजी घ्या. बाय बाय.

विकी वीणा: बाय, धन्यवाद.