Dengan Staf Techopedia, 27 Oktober 2016
Takeaway: Host Eric Kavanagh membincangkan keselamatan pangkalan data dengan Robin Bloor, Dez Blanchfield dan Ignacio Rodriguez IDERA.
Anda tidak log masuk sekarang. Sila log masuk atau mendaftar untuk melihat video.
Eric Kavanagh: Halo dan selamat datang, sekali lagi, kepada Teknologi Hot. Nama saya Eric Kavanagh; Saya akan menjadi tuan rumah anda untuk webcast hari ini dan topik hangat dan ia tidak akan menjadi topik hangat. Ini adalah topik hangat sekarang kerana, terus terang, semua pelanggaran yang kita dengar dan saya dapat menjamin anda bahawa ia tidak akan pergi. Jadi topik hari ini, tajuk persembahan yang patut saya katakan, adalah "The New Normal: Berurusan dengan Realiti Dunia yang Tidak Selamat." Itulah apa yang kita hadapi.
Kami mempunyai tuan rumah anda, anda benar-benar, di sana. Dari beberapa tahun yang lalu, fikiran anda, saya mungkin perlu mengemas kini foto saya; iaitu 2010. Masa terbang. Kirimkan saya e-mel dengan jika anda ingin membuat cadangan. Jadi inilah standard "panas" kami untuk Teknologi Hot. Seluruh tujuan pertunjukan ini benar-benar menentukan ruang tertentu. Jadi hari ini kita bercakap tentang keselamatan, jelas. Kami mengambil sudut yang sangat menarik di atasnya, sebenarnya, dengan rakan-rakan kami dari IDERA.
Dan saya akan menunjukkan bahawa anda, sebagai ahli penonton, memainkan peranan penting dalam program ini. Tolong jangan malu. Hantar soalan kepada kami pada bila-bila masa dan kami akan mengulanginya untuk Q & A jika kami mempunyai masa yang mencukupi untuknya. Kami mempunyai tiga orang dalam talian hari ini, Dr. Robin Bloor, Dez Blanchfield dan Ignacio Rodriguez, yang memanggil dari lokasi yang tidak didedahkan. Jadi pertama sekali, Robin, anda adalah penyampai pertama. Saya akan menyerahkan kunci anda. Mengambilnya.
Dr. Robin Bloor: Baiklah, terima kasih kerana itu, Eric. Mengekalkan pangkalan data - Saya rasa kita boleh mengatakan bahawa kemungkinan bahawa data yang paling berharga yang mana-mana syarikat sebenarnya sedang dipimpin adalah dalam pangkalan data. Oleh itu, terdapat satu siri keselamatan yang boleh dibincangkan. Tetapi apa yang saya fikir saya lakukan adalah membincangkan perkara mengenai pangkalan data pengaman. Saya tidak mahu mengambil apa-apa dari persembahan yang akan diberikan oleh Ignacio.
Oleh itu mari kita mulakan, mudah untuk memikirkan keselamatan data sebagai sasaran statik, tetapi tidak. Ia sasaran yang bergerak. Dan ini penting untuk difahami dalam ertikata bahawa persekitaran IT kebanyakan orang, terutamanya persekitaran IT syarikat besar, berubah sepanjang masa. Dan kerana mereka berubah sepanjang masa, permukaan serangan, kawasan di mana seseorang boleh cuba, dalam satu cara atau yang lain, sama ada dari dalam atau dari luar, untuk menjejaskan keselamatan data, berubah sepanjang masa. Dan apabila anda melakukan sesuatu seperti itu, anda menaik taraf pangkalan data, anda tidak tahu sama ada anda hanya, dengan melakukan itu, mencipta beberapa jenis kelemahan untuk diri anda sendiri. Tetapi anda tidak sedar dan mungkin tidak akan mengetahui sehingga sesuatu yang buruk berlaku.
Terdapat gambaran ringkas tentang keselamatan data. Pertama sekali, kecurian data bukan sesuatu yang baru dan data yang berharga disasarkan. Ia biasanya mudah untuk digunakan untuk organisasi apa data yang mereka perlukan untuk meletakkan perlindungan yang paling. Fakta yang ingin tahu ialah yang pertama, atau apa yang kita boleh mendakwa sebagai komputer pertama, dibina oleh perisikan British semasa Perang Dunia Kedua dengan satu tujuan dalam fikiran, dan itu adalah untuk mencuri data dari komunikasi Jerman.
Jadi kecurian data telah menjadi sebahagian daripada industri IT sejak ia bermula. Ia menjadi lebih serius dengan kelahiran internet. Saya sedang melihat log jumlah pelanggaran data yang berlaku tahun demi tahun. Dan bilangan itu telah melonjak melebihi 100 menjelang tahun 2005 dan sejak itu ia cenderung menjadi semakin teruk dan semakin buruk setiap tahun.
Jumlah data yang lebih besar dicuri dan sejumlah hacks yang lebih besar berlaku. Dan itu adalah hacks yang dilaporkan. Ada sejumlah besar insiden yang berlaku di mana syarikat tidak pernah mengatakan apa-apa kerana tidak ada apa-apa yang memaksanya untuk mengatakan apa-apa. Jadi ia memastikan pelanggaran data tenang. Terdapat banyak pemain dalam perniagaan penggodaman: kerajaan, perniagaan, kumpulan penggodam, individu.
Satu perkara yang saya fikir adalah menarik untuk disebutkan, apabila saya pergi ke Moscow, saya fikir ia adalah kira-kira empat tahun lalu, ia adalah persidangan perisian di Moscow, saya bercakap dengan seorang wartawan yang khusus dalam bidang peretasan data. Dan dia mendakwa - dan saya pasti dia betul, tetapi saya tidak tahu selain dia satu-satunya orang yang pernah menyebutnya kepada saya, tetapi - ada perniagaan Rusia yang dikenali sebagai Rangkaian Perniagaan Rusia, mungkin mendapat Rusia nama tetapi saya fikir itu terjemahan bahasa Inggeris itu, yang sebenarnya disewa untuk hack.
Jadi, jika anda adalah sebuah organisasi besar di mana sahaja di dunia dan anda mahu melakukan sesuatu untuk merosakkan persaingan anda, anda boleh menyewa orang-orang ini. Dan jika anda menyewa orang-orang ini, anda akan mendapat kebencian yang sangat munasabah tentang siapa yang berada di belakang hack itu. Kerana jika ia ditemui pada semua yang berada di belakang hack, ia akan menunjukkan bahawa ia mungkin seseorang di Rusia yang melakukannya. Dan ia tidak akan kelihatan seperti anda cuba merosakkan pesaing. Dan saya percaya bahawa Rangkaian Perniagaan Rusia sebenarnya telah diupah oleh kerajaan untuk melakukan perkara seperti menggodam bank untuk mencuba dan mengetahui bagaimana wang pengganas bergerak di sekitar. Dan itu dilakukan dengan kebencian yang munasabah oleh kerajaan yang tidak akan mengakui bahawa mereka sebenarnya pernah melakukan itu.
Teknologi serangan dan pertahanan berevolusi. Sudah lama saya biasa pergi ke Kelab Chaos. Ia adalah laman web di Jerman di mana anda boleh mendaftar dan anda boleh mengikuti perbualan pelbagai orang dan melihat apa yang ada. Dan saya melakukannya ketika saya melihat teknologi keselamatan, saya fikir sekitar tahun 2005. Dan saya melakukannya hanya untuk melihat apa yang sedang berlaku kemudian dan perkara yang kagum saya adalah bilangan virus, di mana ia pada asasnya sistem sumber terbuka Saya sedang berjalan dan orang-orang yang telah menulis virus atau virus yang dipertingkatkan hanya melekat kod di sana untuk sesiapa sahaja untuk digunakan. Dan ia berlaku kepada saya pada masa bahawa penggodam boleh menjadi sangat pintar, tetapi ada banyak penggodam yang tidak semestinya pintar, tetapi mereka menggunakan alat pintar. Dan beberapa alat itu sangat pintar.
Dan perkara terakhir di sini: perniagaan mempunyai tugas menjaga data mereka, sama ada mereka memiliki atau tidak. Dan saya fikir itu menjadi lebih dan lebih realistik daripada dulu. Dan semakin banyak, katakanlah, mahal untuk perniagaan yang sebenarnya menjalani hack. Mengenai penggodam, mereka boleh berada di mana-mana sahaja, mungkin sukar untuk dibawa ke muka pengadilan walaupun mereka dikenal pasti. Ramai daripada mereka sangat mahir. Sumber yang banyak, mereka mempunyai botnet di seluruh tempat. Serangan DDoS baru-baru ini yang dipercayai telah datang dari lebih satu bilion peranti. Saya tidak tahu sama ada ia benar atau sama ada wartawan itu menggunakan nombor bulat, tetapi sebilangan besar peranti robot digunakan untuk melakukan serangan terhadap rangkaian DNS. Ada beberapa perniagaan yang menguntungkan, ada kumpulan kerajaan, ada peperangan ekonomi, ada cyberwarfare, semuanya berjalan di sana, dan tidak mungkin, saya fikir kita berkata dalam masa depan, ia tidak akan pernah berakhir.
Pematuhan dan peraturan - terdapat beberapa perkara yang sebenarnya berlaku. Terdapat banyak inisiatif pematuhan yang berasaskan sektor, anda tahu - sektor farmaseutikal atau sektor perbankan atau sektor kesihatan - mungkin mempunyai inisiatif tertentu yang boleh diikuti oleh orang ramai, pelbagai jenis amalan terbaik. Tetapi ada juga banyak peraturan rasmi yang, kerana mereka adalah undang-undang, mereka mempunyai hukuman yang dikenakan untuk sesiapa yang melanggar undang-undang. Contoh AS ialah HIPAA, SOX, FISMA, FERPA, GLBA. Ada beberapa piawai, PCI-DSS adalah piawai bagi syarikat kad. ISO / IEC 17799 didasarkan pada cuba untuk mendapatkan standard biasa. Ini adalah pemilikan data. Peraturan kebangsaan berbeza dari negara ke negara, bahkan di Eropah, atau salah satu yang sepatutnya katakan, terutama di Eropah di mana ia sangat membingungkan. Dan ada GDPR, peraturan perlindungan data global yang kini sedang dirundingkan antara Eropah dan Amerika Syarikat untuk mencuba dan menyelaraskan peraturan kerana terdapat begitu banyak, biasanya kerana mereka, secara efektif, antarabangsa, dan kemudian ada perkhidmatan awan yang mungkin Anda tidak mengira data anda adalah antarabangsa, tetapi ia pergi ke peringkat antarabangsa sebaik sahaja anda pergi ke awan, kerana ia keluar dari negara anda. Jadi mereka adalah satu set peraturan yang sedang dirundingkan, dalam satu cara atau yang lain, untuk menangani perlindungan data. Dan kebanyakannya ada kaitan dengan data individu, yang tentunya, termasuk hampir semua data identiti.
Perkara yang perlu dipertimbangkan: kelemahan pangkalan data. Terdapat senarai kelemahan yang diketahui dan dilaporkan oleh vendor pangkalan data apabila ia ditemui dan ditambal secepat mungkin, jadi semuanya itu. Terdapat perkara yang berkaitan dengannya dari segi mengenal pasti data terdedah. Salah satu hacks besar dan paling berjaya pada data pembayaran telah dilakukan kepada syarikat pemprosesan pembayaran. Yang kemudiannya diambil alih kerana ia perlu dimasukkan ke dalam pembubaran jika tidak, tetapi data itu tidak dicuri dari mana-mana pangkalan data operasi. Data dicuri dari pangkalan data ujian. Ia hanya berlaku bahawa pemaju baru saja mengambil subset data yang merupakan data sebenar dan menggunakannya, tanpa perlindungan apa pun, dalam pangkalan data ujian. Pangkalan data ujian digodam dan banyak maklumat kewangan peribadi yang diambil olehnya.
Dasar keselamatan, terutamanya berhubung keselamatan akses berkenaan dengan pangkalan data, siapa yang boleh membaca, siapa yang boleh menulis, siapa yang boleh memberikan kebenaran, adakah ada cara yang seseorang boleh mengelakkan mana-mana ini? Kemudian, tentu saja, penyulitan dari pangkalan data membolehkannya. Terdapat kos pelanggaran keselamatan. Saya tidak tahu sama ada ia adalah amalan piawai dalam organisasi, tetapi saya tahu bahawa sesetengah orang, seperti ketua pegawai keselamatan, cuba memberikan eksekutif dengan idea tentang apa yang sebenarnya berlaku untuk pelanggaran keselamatan sebelum ia berlaku. Dan mereka, jenisnya, perlu melakukan itu untuk memastikan bahawa mereka mendapat jumlah anggaran yang tepat untuk dapat mempertahankan organisasi.
Dan kemudian permukaan serangan. Permukaan serangan seolah-olah tumbuh sepanjang masa. Ia tahun pada tahun serangan permukaan hanya kelihatan berkembang. Jadi secara ringkas, julat adalah titik lain, tetapi keselamatan data biasanya sebahagian daripada peranan DBA. Tetapi keselamatan data juga merupakan aktiviti kolaboratif. Anda perlu mempunyai, jika anda melakukan keselamatan, anda perlu mempunyai idea penuh tentang perlindungan keselamatan untuk organisasi secara keseluruhan. Dan perlu ada dasar korporat mengenai perkara ini. Sekiranya tidak ada dasar korporat, anda hanya akan mendapat penyelesaian sedikit demi sedikit. Anda tahu, getah dan plastik, jenis, cuba menghentikan keselamatan yang berlaku.
Jadi setelah mengatakannya, saya rasa saya menyerahkan kepada Dez yang mungkin akan memberi anda pelbagai cerita perang.
Eric Kavanagh: Keluarkannya, Dez.
Dez Blanchfield: Terima kasih, Robin. Ia sentiasa menjadi tindakan yang sukar untuk diikuti. Saya akan datang ini dari ujung spektrum yang bertentangan, saya rasa, memberi kita rasa skala cabaran yang anda hadapi dan mengapa kita perlu melakukan lebih daripada sekadar duduk dan memberi perhatian kepada ini . Cabaran yang kita lihat sekarang dengan skala dan kuantiti dan jumlah, kelajuan di mana perkara-perkara ini berlaku, ialah perkara yang saya dengar di sekitar tempat sekarang dengan banyak CXO, bukan hanya CIO, tetapi sudah tentu CIO adalah orang-orang yang hadir di mana mereka berhenti, adalah bahawa mereka mempertimbangkan pelanggaran data dengan cepat menjadi norma. Ia sesuatu yang hampir dijangka berlaku. Jadi, mereka melihat ini dari sudut pandang, "Baiklah, apabila kita terlanggar - tidak jika kita terlanggar, apa yang perlu kita lakukan mengenai perkara ini?" Kemudian perbualan bermula, apa yang mereka lakukan dalam persekitaran tradisional dan router, suis, pelayan, pengesanan pencerobohan, pemeriksaan pencerobohan? Apa yang mereka lakukan dalam sistem itu sendiri? Apa yang mereka lakukan dengan data? Dan kemudian semuanya kembali kepada apa yang mereka lakukan dengan pangkalan data mereka.
Biarkan saya hanya menyentuh beberapa contoh beberapa perkara ini yang telah menangkap banyak imaginasi orang dan kemudian mengebom ke, sejenis, memecah mereka sedikit. Oleh itu, kita telah mendengar dalam berita bahawa Yahoo - mungkin bilangan terbesar yang telah didengar oleh orang ramai adalah kira-kira setengah juta, tetapi sebenarnya ternyata ia secara tidak rasmi lebih seperti satu bilion - saya mendengar jumlah yang kurang dari tiga bilion, tetapi itu hampir separuh penduduk dunia jadi saya fikir itu sedikit tinggi. Tetapi saya telah mengesahkannya dari beberapa orang di ruang yang relevan yang mempercayai terdapat lebih satu bilion rekod yang telah dilanggar daripada Yahoo. Dan ini hanyalah nombor yang sukar difahami. Kini, sesetengah pemain melihat dan berfikir, ia hanya akaun webmail, tidak ada urusan besar, tetapi kemudian, anda menambah hakikat bahawa banyak akaun webmail itu, dan jumlah yang sangat tinggi, lebih tinggi daripada yang saya harapkan, sebenarnya akaun yang dibayar. Di sinilah orang meletakkan butiran kad kredit mereka dan membayar untuk mengeluarkan iklan, kerana mereka mendapat bosan dengan iklan dan jadi $ 4 atau $ 5 sebulan mereka bersedia membeli perkhidmatan webmail dan storan awan yang tidak mempunyai iklan, dan saya adalah salah satu daripada mereka, dan saya mempunyai tiga penyedia yang berbeza di mana saya memasukkan kad kredit saya.
Oleh itu, cabaran mendapat sedikit perhatian kerana ia bukan hanya sesuatu yang ada di sana sebagai satu baris yang mengatakan: "Baiklah, Yahoo telah kehilangan, katakan, antara 500 juta dan 1, 000 juta akaun, " 1, 000 juta menjadikannya bunyi yang sangat besar, dan akaun mel web, tetapi butiran kad kredit, nama pertama, nama belakang, alamat e-mel, tarikh lahir, kad kredit, nombor pin, apa sahaja yang anda mahu, kata laluan, dan kemudian menjadi konsep yang lebih menakutkan. Dan sekali lagi orang berkata kepada saya, "Ya, tetapi hanya perkhidmatan web, ini hanya webmail, tidak ada masalah besar." Dan kemudian saya berkata, "Ya, yah, akaun Yahoo itu juga telah digunakan dalam perkhidmatan wang Yahoo untuk membeli dan menjual saham. "Kemudian ia menjadi lebih menarik. Dan apabila anda mula mengetuk ke dalamnya, anda menyedari bahawa, okay, ini sebenarnya lebih daripada sekadar ibu dan bapa di rumah, dan remaja, dengan akaun pesanan, ini sebenarnya sesuatu di mana orang telah melakukan transaksi perniagaan.
Jadi itu satu akhir spektrum. Akhir lain dari spektrum adalah bahawa amalan yang sangat kecil, umum, penyedia perkhidmatan kesihatan di Australia mempunyai kira-kira 1, 000 rekod yang dicuri. Adalah pekerjaan dalaman, seseorang meninggalkan, mereka hanya ingin tahu, mereka keluar dari pintu, dalam kes ini ia adalah cakera liut 3.5 inci. Ia adalah sedikit masa lalu - tetapi anda boleh memberitahu era media - tetapi mereka berada pada teknologi lama. Tetapi ternyata bahawa sebab mereka mengambil data itu, mereka hanya ingin tahu siapa yang ada di sana. Kerana mereka mempunyai banyak orang di bandar kecil ini, yang merupakan ibu negara kita, yang merupakan ahli politik. Dan mereka berminat dengan siapa yang ada di sana dan di mana kehidupan mereka dan semua jenis maklumat itu. Oleh itu, dengan pelanggaran data yang sangat kecil yang dilakukan secara dalaman, sejumlah besar ahli politik dalam butir-butir kerajaan Australia dikatakan berada di luar awam.
Kami mempunyai dua hujung spektrum di sana untuk dipertimbangkan. Kini realiti adalah skala semata-mata perkara-perkara ini hanya cukup mengejutkan dan saya mempunyai slaid yang kita akan melompat ke sangat, sangat cepat di sini. Terdapat beberapa laman web yang menyenaraikan semua jenis data, tetapi ini khusus dari pakar keselamatan yang mempunyai laman web di mana anda boleh pergi dan mencari alamat e-mel anda, atau nama anda, dan ia akan menunjukkan kepada anda setiap insiden data pelanggaran selama 15 tahun terakhir yang dia dapat mengangkat tangannya, dan kemudian memuatkan ke dalam pangkalan data dan mengesahkan, dan ia akan memberitahu anda sama ada anda telah dibebaskan, seperti istilahnya. Tetapi apabila anda mula melihat beberapa nombor ini dan tangkapan skrin ini tidak dikemas kini dengan versi terbarunya, termasuk pasangan, seperti Yahoo. Tetapi hanya fikirkan jenis perkhidmatan di sini. Kami mempunyai Myspace, kami ada LinkedIn, Adobe. Adobe menarik kerana orang melihat dan berfikir, dengan baik, apa maksudnya Adobe? Kebanyakan kita yang memuat turun Adobe Reader dari beberapa bentuk, banyak dari kita telah membeli produk Adobe dengan kad kredit, itu adalah 152 juta orang.
Sekarang, pada titik Robin sebelum ini, ini adalah nombor yang sangat besar, mudah dibebani oleh mereka. Apa yang berlaku apabila anda mempunyai 359 juta akaun yang telah dilanggar? Nah, ada beberapa perkara. Robin menyoroti hakikat bahawa data itu sentiasa dalam pangkalan data dalam beberapa bentuk. Itulah mesej penting di sini. Hampir tiada siapa di planet ini, yang saya sedar, yang menjalankan sistem apa-apa bentuk, tidak menyimpannya dalam pangkalan data. Tetapi yang menarik adalah terdapat tiga jenis data yang berlainan dalam pangkalan data tersebut. Ada barangan berkaitan keselamatan seperti nama pengguna dan kata laluan, yang biasanya disulitkan, tetapi selalu ada banyak contoh di mana mereka tidak. Terdapat maklumat pelanggan sebenar di sekitar profil dan data yang mereka buat sama ada rekod kesihatan atau sama ada e-mel atau mesej segera. Dan kemudian ada logika terbenam yang sebenarnya, jadi ini boleh disimpan prosedur, ia boleh menjadi sekumpulan aturan, jika + ini + kemudian + itu. Dan selalunya itu hanya teks ASCII yang tersangkut di dalam pangkalan data, sangat sedikit orang yang duduk di sana berfikir, "Nah, ini adalah peraturan perniagaan, ini adalah bagaimana data kami bergerak dan dikawal, kita sepatutnya mengenkripsi ini apabila ia sedang berehat, dan ketika ia berada di usul mungkin kita menyahsulit dan menyimpannya dalam ingatan, "tetapi idealnya mungkin juga.
Tetapi ia kembali kepada titik utama ini bahawa semua data ini dalam pangkalan data beberapa bentuk dan lebih kerap daripada tidak fokus, hanya secara sejarah, telah di router dan suis dan pelayan dan juga penyimpanan, dan tidak selalu pada pangkalan data di hujung belakang. Kerana kita berfikir bahawa kita telah mendapat tepi rangkaian yang dilindungi dan itu, semacamnya, yang biasa lama, jenis, tinggal di istana dan anda meletakkan parit di sekelilingnya dan anda berharap orang jahat tidak akan boleh berenang. Tetapi kemudian tiba-tiba orang-orang jahat bekerja bagaimana membuat tangga panjang dan membuangnya ke atas parit dan memanjat parit dan memanjat dinding. Dan semua tiba-tiba keruntuhan anda tidak banyak berguna.
Jadi kita kini dalam senario di mana organisasi berada dalam mod tangkapan dalam pecut. Mereka secara harfiah berlari melintasi semua sistem, pada pandangan saya, dan pastinya pengalaman saya, oleh itu, ia tidak semata-mata hanya unicorns web ini, seperti yang sering kita rujuk kepada mereka, lebih kerap daripada bukan organisasi organisasi tradisional yang dilanggar. Dan anda tidak perlu mempunyai banyak imaginasi untuk mengetahui siapa mereka. Terdapat laman web seperti yang dipanggil pastebin.net dan jika anda pergi ke pastebin.net dan anda hanya menaip senarai e-mel atau senarai kata laluan anda akan berakhir dengan beratus-ratus ribu entri sehari yang ditambah di mana orang menyenaraikan set data contoh sehingga seribu rekod nama pertama, nama belakang, butiran kad kredit, nama pengguna, kata laluan, kata laluan yang disahsulit, dengan cara ini. Di mana orang boleh merebut senarai itu, pergi dan sahkan tiga atau empat daripadanya dan tentukan itu, ya, saya ingin membeli senarai itu dan biasanya terdapat beberapa bentuk mekanisme yang menyediakan beberapa jenis pintu masuk tanpa nama kepada orang yang menjual data.
Sekarang apa yang menarik ialah apabila pengusaha sekutu menyedari bahawa mereka boleh melakukan ini, ia tidak mengambil banyak imaginasi untuk menyedari bahawa jika anda membelanjakan AS $ 1, 000 untuk membeli salah satu senarai ini, apakah perkara pertama yang anda lakukan dengannya? Anda tidak pergi dan cuba dan mengesan akaun, anda meletakkan salinannya kembali pada pastbin.net dan anda menjual dua salinan untuk $ 1, 000 setiap satu dan membuat keuntungan $ 1, 000. Dan ini adalah anak-anak yang melakukan ini. Terdapat beberapa organisasi profesional yang sangat besar di seluruh dunia yang melakukan ini untuk hidup. Malah ada negara-negara yang menyerang negeri-negeri lain. Anda tahu, ada banyak bercakap tentang Amerika menyerang China, China menyerang Amerika, ia tidak begitu mudah, tetapi ada pasti organisasi kerajaan yang melanggar sistem yang sentiasa dikuasai oleh pangkalan data. Ia bukan hanya kes organisasi kecil, tetapi juga negara berbanding negara. Ia membawa kita kembali kepada isu itu, di mana data disimpan? Ia dalam pangkalan data. Apakah kawalan dan mekanisme yang ada di sana? Atau selalunya ia tidak disulitkan, dan jika ia disulitkan, ia tidak selalu semua data, mungkin ia hanya kata laluan yang diasinkan dan disulitkan.
Dan membungkus ini kami mempunyai pelbagai cabaran dengan apa yang ada dalam data dan bagaimana kami menyediakan akses kepada data dan pematuhan SOX. Jadi, jika anda berfikir tentang pengurusan kekayaan atau perbankan, anda mempunyai organisasi yang bimbang tentang cabaran itu; anda mempunyai organisasi yang bimbang tentang pematuhan di ruang korporat; anda mempunyai pematuhan dan keperluan pengawalseliaan kerajaan; anda mempunyai senario sekarang di mana kami mempunyai pangkalan data di premis; kami mempunyai pangkalan data di pusat data pihak ketiga; kami mempunyai pangkalan data yang duduk di persekitaran awan, jadi persekitaran awannya selalu tidak selalu di negara. Dan ini menjadi cabaran yang lebih besar dan lebih besar, bukan hanya dari sudut pandangan keselamatan yang tulen, tapi juga, bagaimana kita memenuhi semua tahap pematuhan yang berbeza? Bukan sekadar piawaian HIPAA dan ISO, tetapi terdapat puluhan dan puluhan dan puluhan daripada ini di peringkat negeri, peringkat kebangsaan dan tahap global yang melintangi sempadan. Jika anda menjalankan perniagaan dengan Australia, anda tidak boleh memindahkan data kerajaan. Mana-mana data peribadi Australia tidak boleh meninggalkan negara. Sekiranya anda berada di Jerman, ia lebih ketat. Dan saya tahu bahawa Amerika bergerak sangat cepat untuk ini kerana pelbagai alasan juga.
Tetapi ia membawa saya kembali kepada cabaran keseluruhan tentang bagaimana anda tahu apa yang berlaku dalam pangkalan data anda, bagaimana anda memantaunya, bagaimana anda memberitahu siapa yang melakukan apa yang ada dalam pangkalan data, yang mendapat pandangan pelbagai jadual dan baris dan lajur dan bidang, bilakah mereka membacanya, berapa kerap mereka membacanya dan siapa yang mencarinya? Dan saya fikir ini membawa saya ke titik akhir saya sebelum saya menyerahkan kepada tetamu kami hari ini yang akan membantu kami bercakap tentang bagaimana kami menyelesaikan masalah ini. Tetapi saya ingin meninggalkan kami dengan satu pemikiran ini dan itu, banyak tumpuan adalah pada kos untuk perniagaan dan kos kepada organisasi. Dan kita tidak akan membincangkan perkara ini secara terperinci hari ini, tetapi saya hanya mahu meninggalkannya dalam minda kita untuk merenung dan itu adalah bahawa terdapat anggaran kira-kira antara AS $ 135 dan US $ 585 setiap rekod untuk membersihkan selepas pelanggaran. Oleh itu, pelaburan yang anda buat dalam keselamatan anda di sekitar router dan suis dan pelayan semuanya baik dan baik dan firewall, tetapi berapa banyak yang anda investasikan dalam keselamatan pangkalan data anda?
Tetapi ia adalah ekonomi yang salah dan apabila pelanggaran Yahoo berlaku baru-baru ini, dan saya mempunyai kuasa yang baik, ia kira-kira satu bilion akaun, bukan 500 juta. Apabila Verizon membeli organisasi itu untuk sesuatu seperti 4.3 bilion, sebaik sahaja pelanggaran itu berlaku, mereka meminta satu bilion dolar kembali, atau diskaun. Kini jika anda melakukan matematik dan anda mengatakan ada kira-kira satu bilion rekod yang dilanggar, satu bilion dolar diskaun, anggaran $ 135 hingga $ 535 untuk membersihkan rekod kini menjadi $ 1. Yang, sekali lagi, adalah bunyi-bunyian. Ia tidak membelanjakan $ 1 untuk membersihkan satu bilion rekod. Pada $ 1 setiap rekod untuk membersihkan satu bilion rekod kerana melanggar saiz itu. Anda juga tidak boleh mengeluarkan siaran akhbar untuk jenis kos tersebut. Oleh itu, kita sentiasa memberi tumpuan kepada cabaran dalaman.
Tetapi salah satu daripada perkara itu, saya fikir, dan ia sepatutnya kita ambil ini dengan serius di pangkalan pangkalan data, sebab itulah topik yang sangat penting untuk kita dibincangkan, dan itulah itu, kita tidak pernah bercakap mengenai manusia tol. Apa gunanya manusia yang kita kenaikan ini? Dan saya akan mengambil satu contoh sebelum saya cepat membungkus. LinkedIn: pada tahun 2012, sistem LinkedIn telah diretas. Terdapat beberapa vektor dan saya tidak akan masuk ke dalamnya. Dan ratusan juta akaun telah dicuri. Orang mengatakan kira-kira 160 juta dolar, tetapi ia sebenarnya jumlah yang jauh lebih besar, ia boleh menjadi kira-kira 240 juta. Tetapi pelanggaran itu tidak diumumkan sehingga awal tahun ini. Itulah empat tahun bahawa beratus-ratus juta rekod orang di luar sana. Sekarang, terdapat beberapa orang yang membayar untuk perkhidmatan dengan kad kredit dan beberapa orang dengan akaun percuma. Tetapi LinkedIn menarik, kerana bukan sahaja mereka mendapat akses ke butiran akaun anda jika anda dilanggar, tetapi mereka juga mendapat akses ke semua maklumat profil anda. Jadi, siapa yang anda sambungkan dan semua sambungan yang anda ada, dan jenis pekerjaan yang mereka ada dan mereka jenis kemahiran yang mereka ada dan berapa lama mereka bekerja di syarikat-syarikat dan semua jenis maklumat, dan maklumat hubungan mereka.
Oleh itu, fikirkan tentang cabaran yang kita ada dalam mendapatkan data dalam pangkalan data ini, dan mengamankan dan menguruskan sistem pangkalan data itu sendiri, dan aliran terhadap impak, data manusia yang berada di luar sana selama empat tahun. Dan kemungkinan seseorang boleh pergi bercuti di suatu tempat di Asia Tenggara dan mereka mempunyai data mereka di sana selama empat tahun. Dan seseorang mungkin membeli kereta atau mendapat pinjaman rumah atau membeli sepuluh telefon sepanjang tahun dengan kad kredit, di mana mereka membuat ID palsu pada data yang berada di luar sana selama empat tahun - kerana walaupun data LinkedIn memberi anda maklumat yang cukup untuk membuat akaun bank dan ID palsu - dan anda naik kapal terbang, anda pergi bercuti, anda mendarat dan anda dilemparkan ke dalam penjara. Dan mengapa kamu dilemparkan ke penjara? Nah, kerana anda mempunyai ID anda dicuri. Seseorang mencipta ID palsu dan bertindak seperti anda dan beratus-ratus ribu dolar dan mereka melakukan empat tahun ini dan anda tidak tahu mengenainya. Kerana ia di luar sana, ia hanya berlaku.
Jadi, saya fikir ia membawa kita kepada cabaran teras tentang bagaimana kita tahu apa yang berlaku di pangkalan data kita, bagaimana kita mengesannya, bagaimana kita memantaunya? Dan saya tidak sabar-sabar untuk mendengar bagaimana rakan-rakan kami di IDERA mempunyai penyelesaian untuk mengatasinya. Dan dengan itu, saya akan menyerahkan.
Eric Kavanagh: Baiklah, Ignacio, lantai adalah milikmu.
Ignacio Rodriguez: Baiklah. Nah, selamatkan semua orang. Nama saya Ignacio Rodriguez, lebih dikenali sebagai Iggy. Saya dengan IDERA dan pengurus produk untuk produk keselamatan. Topik-topik yang benar-benar baik yang baru kita tutupi, dan kita benar-benar perlu bimbang tentang pelanggaran data. Kita perlu menguatkan dasar keselamatan, kita perlu mengenal pasti kelemahan dan menilai tahap keselamatan, mengawal kebenaran pengguna, mengawal keselamatan pelayan dan mematuhi audit. Saya telah melakukan pengauditan dalam sejarah masa lalu saya, kebanyakannya di sisi Oracle. Saya telah melakukan beberapa perkara di SQL Server dan melakukannya dengan alat atau pada asasnya skrip tempatan, yang bagus tetapi anda perlu membuat repositori dan pastikan repositori itu selamat, sentiasa perlu mengekalkan skrip dengan perubahan daripada juruaudit, apa yang ada padamu.
Jadi, dalam alat, jika saya tahu bahawa IDERA berada di sana dan mempunyai alat, saya lebih mungkin akan membelinya. Tetapi bagaimanapun, kami akan bercakap mengenai Secure. Ia adalah salah satu produk kami dalam barisan produk keselamatan kami dan apa yang ia lakukan pada dasarnya ialah kami melihat dasar keselamatan dan memetakan mereka kepada garis panduan peraturan. Anda boleh melihat sejarah lengkap tetapan SQL Server dan anda juga boleh pada asasnya melakukan asas bagi tetapan tersebut dan kemudian bandingkan dengan perubahan masa depan. Anda dapat membuat tangkapan gambar, yang merupakan garis dasar tetapan anda, dan kemudian dapat menjejaki jika mana-mana perkara tersebut telah berubah dan juga dimaklumkan jika ia berubah.
Salah satu perkara yang kami lakukan adalah menghalang risiko keselamatan dan pelanggaran. Kad laporan keselamatan memberikan anda gambaran kelemahan keselamatan teratas pada pelayan dan kemudian setiap pemeriksaan keselamatan dikategorikan sebagai risiko tinggi, sederhana atau rendah. Sekarang, pada kategori atau pemeriksaan keselamatan ini, semua ini boleh diubah suai. Katakan jika anda mempunyai beberapa kawalan dan menggunakan salah satu template yang kami ada dan anda membuat keputusan, dengan baik, kawalan kami benar-benar menunjukkan atau menginginkan kelemahan ini tidak benar-benar tinggi tetapi sederhana, atau sebaliknya. Anda mungkin mempunyai beberapa yang dilabel sebagai medium tetapi dalam organisasi anda, kawalan yang anda mahu labelkannya, atau menganggapnya, setinggi-tingginya, semua tetapan itu boleh dikonfigurasi oleh pengguna.
Satu lagi isu kritikal yang perlu kita lihat adalah mengenalpasti kelemahan. Memahami siapa yang mempunyai akses kepada apa dan mengenal pasti setiap hak pengguna yang berkesan di semua objek SQL Server. Dengan alat ini kami akan dapat melalui dan melihat hak-hak merentasi semua objek SQL Server dan kami akan melihat screenshot itu di sini tidak lama lagi. Kami juga melaporkan dan menganalisis kebenaran pengguna, kumpulan dan peranan. Salah satu ciri lain ialah kami menyampaikan laporan risiko keselamatan terperinci. Kami mempunyai laporan yang tidak lengkap dan mengandungi parameter yang fleksibel bagi anda untuk membuat jenis laporan dan memaparkan data yang juruaudit, pegawai keselamatan dan pengurus memerlukan.
Kami juga boleh membandingkan perubahan keselamatan, risiko dan konfigurasi dari masa ke masa, seperti yang saya nyatakan. Dan mereka ada dengan snapshot. Dan snapshot tersebut boleh dikonfigurasikan sejauh yang anda mahu lakukan - setiap bulan, suku tahunan, tahunan - yang boleh dijadualkan dalam alat ini. Dan, sekali lagi, anda boleh melakukan perbandingan untuk melihat apa yang telah berubah dan apa yang bagus tentangnya adalah jika anda melakukan pelanggaran anda boleh membuat petikan selepas diperbetulkan, lakukan perbandingan, dan anda akan melihat bahawa terdapat tahap tinggi risiko yang berkaitan dengan snapshot sebelumnya dan kemudian melaporkan, anda sebenarnya melihat dalam snapshot seterusnya selepas ia diperbetulkan bahawa ia tidak lagi menjadi masalah. Ini alat pengauditan yang baik yang boleh anda berikan kepada juruaudit, laporan yang anda boleh berikan kepada juruaudit dan berkata, "Lihatlah, kami mempunyai risiko ini, kami mengurangkannya, dan sekarang ia bukan risiko lagi." Dan, sekali lagi, saya yang disebut dengan snapshot anda boleh memberi amaran apabila perubahan konfigurasi, dan jika konfigurasi diubah, dan dikesan, yang menunjukkan risiko baru, anda akan dimaklumkan juga.
Kami mendapat beberapa pertanyaan mengenai Arkib SQL Server kami dengan Secure, dan saya mahu membuat pembetulan pada slaid di sini di mana ia mengatakan "Perkhidmatan Koleksi." Kami tidak mempunyai apa-apa perkhidmatan, ia mestilah "Pengurusan dan Pengumpulan Pelayan. "Kami mempunyai konsol kami dan kemudian kami Pengurusan dan Pengumpulan Server dan kami mempunyai penangkap tanpa agen yang akan keluar ke pangkalan data yang telah didaftarkan dan mengumpulkan data melalui pekerjaan. Dan kami mempunyai Repositori SQL Server dan kami bekerja bersama-sama dengan Perkhidmatan Pelaporan SQL Server untuk menjadualkan laporan dan membuat laporan tersuai juga. Kini pada Kad Laporan Keselamatan ini adalah skrin pertama yang akan anda lihat apabila SQL Secure dimulakan. Anda akan dapat melihat item kritikal anda dengan mudah yang dikesan. Dan, sekali lagi, kita mempunyai tinggi, medium dan rendah. Dan kemudian kami juga mempunyai dasar yang bermain dengan pemeriksaan keselamatan tertentu. Kami mempunyai template HIPAA; kami mempunyai templat Tahap Keselamatan 1, 2 dan 3 IDERA; kami mempunyai garis panduan PCI. Ini adalah semua templat yang boleh anda gunakan dan, sekali lagi, anda boleh membuat templat anda sendiri, berdasarkan kawalan anda sendiri juga. Dan, sekali lagi, mereka boleh diubah suai. Anda boleh membuat sendiri. Mana-mana templat yang sedia ada boleh digunakan sebagai garis dasar, maka anda boleh memodifikasi mereka yang anda suka.
Salah satu perkara yang baik untuk dilakukan adalah melihat siapa yang mempunyai keizinan. Dan dengan skrin ini di sini kita akan dapat melihat apa yang SQL Server masuk pada perusahaan dan anda akan dapat melihat semua hak dan kebenaran diberikan dan berkesan di pangkalan data pelayan di peringkat objek. Kami berbuat demikian di sini. Anda akan dapat memilih, sekali lagi, pangkalan data atau pelayan, dan kemudian dapat menarik laporan kebenaran SQL Server. Jadi dapat melihat siapa yang mempunyai apa akses kepada apa. Ciri lain yang bagus ialah anda akan dapat membandingkan tetapan keselamatan. Katakan anda mempunyai tetapan standard yang diperlukan untuk ditetapkan di seluruh perusahaan anda. Anda akan dapat melakukan perbandingan semua pelayan anda dan melihat tetapan yang ditetapkan di pelayan lain di perusahaan anda.
Sekali lagi, templat dasar, ini adalah beberapa templat yang kami ada. Anda pada dasarnya, sekali lagi, gunakan salah satu daripada mereka, buat sendiri. Anda boleh membuat dasar anda sendiri, seperti yang dilihat di sini. Gunakan salah satu templat dan anda boleh mengubahnya mengikut keperluan. Kami juga dapat melihat Hak Berkesan SQL Server. Ini akan mengesahkan dan membuktikan bahawa keizinan ditetapkan dengan betul untuk pengguna dan peranan. Sekali lagi, anda boleh pergi ke sana dan melihat dan melihat dan mengesahkan bahawa kebenaran ditetapkan dengan betul untuk pengguna dan peranan. Kemudian dengan Hak Akses Objek SQL Server anda kemudian boleh menyemak imbas dan menganalisis objek objek SQL Server turun dari peringkat pelayan ke peranan dan titik akhir objek. Dan anda boleh melihat keizinan yang ditugaskan dan berkesan yang diwarisi dan sifat berkaitan keselamatan di paras objek. Ini memberi anda gambaran yang baik tentang akses yang anda ada pada objek pangkalan data anda dan yang mempunyai akses kepada mereka.
Kami mempunyai, sekali lagi, laporan kami yang kami ada. Mereka adalah laporan kalengan, kami mempunyai beberapa yang anda boleh pilih dari untuk melakukan pelaporan anda. Dan banyak perkara ini boleh disesuaikan atau anda boleh membuat laporan pelanggan anda dan menggunakannya bersamaan dengan perkhidmatan pelaporan dan dapat membuat laporan tersuai anda sendiri dari sana. Sekarang Perbandingan Snapshot, ini adalah ciri yang sangat keren, saya fikir, di mana anda boleh pergi ke sana dan anda boleh melakukan perbandingan snapshot anda yang telah anda ambil dan lihat untuk melihat jika terdapat sebarang perbezaan dalam nombor tersebut. Adakah terdapat apa-apa objek yang ditambah, ada kebenaran yang telah berubah, apa-apa yang kita mungkin dapat melihat perubahan yang dibuat antara snapshot yang berbeza. Sesetengah orang akan melihatnya pada tahap bulanan - mereka akan membuat snapshot bulanan dan kemudian melakukan perbandingan setiap bulan untuk melihat apakah ada yang berubah. Dan jika tidak ada apa yang sepatutnya telah diubah, apa-apa yang pergi ke mesyuarat kawalan perubahan, dan anda melihat bahawa beberapa kebenaran telah berubah, anda boleh kembali melihat untuk melihat apa yang telah berlaku. Ini adalah ciri yang bagus di sini di mana anda boleh melakukan perbandingan, sekali lagi, semua yang diaudit dalam snapshot.
Kemudian Perbandingan Penilaian anda. Ini adalah satu lagi ciri bagus yang kita ada di mana anda boleh pergi ke sana dan melihat penilaian dan kemudian melakukan perbandingan antara mereka dan perhatikan bahawa perbandingan di sini mempunyai akaun SA yang tidak dilumpuhkan dalam snapshot baru-baru ini yang telah saya lakukan - ia kini diperbetulkan. Ini adalah perkara yang sangat baik di mana anda boleh menunjukkan bahawa, okay, kami mempunyai risiko, mereka telah dikenal pasti oleh alat ini, dan kini kami telah mengurangkan risiko tersebut. Dan, sekali lagi, ini adalah laporan yang baik untuk menunjukkan juruaudit bahawa sebenarnya risiko-risiko itu telah dikurangkan dan dijaga.
Ringkasnya, pangkalan data keselamatan, adalah penting, dan saya fikir banyak kali kita melihat pelanggaran yang datang dari sumber luar dan kadang-kadang kita tidak terlalu memberi perhatian kepada pelanggaran dalaman dan itulah beberapa perkara yang kita perlu berhati-hati. Dan Secure akan membantu anda di sana untuk memastikan tiada keistimewaan yang tidak perlu diberikan, anda tahu, pastikan semua keselamatan ini ditetapkan dengan betul ke akaun. Pastikan akaun SA anda mempunyai kata laluan. Juga cek sejauh, lakukan kunci penyulitan anda, adakah mereka dieksport? Hanya beberapa perkara yang berbeza yang kami periksa dan kami akan memberi amaran kepada anda jika ada isu dan pada tahap tahap isu itu. Kami memerlukan alat, banyak profesional memerlukan alat untuk mengurus dan memantau keizinan akses pangkalan data, dan kami benar-benar melihat keupayaan yang luas untuk mengawal keizinan pangkalan data dan memantau aktiviti akses dan mengurangkan risiko pelanggaran.
Kini sebahagian lagi produk keselamatan kami ialah terdapat WebEx yang dilindungi dan sebahagian daripada persembahan yang kami bincangkan sebelumnya adalah data. Anda tahu siapa yang mengakses apa, apa yang ada pada anda, dan itulah alat Pengurus Kepatuhan SQL kami. Dan terdapat WebEx tercatat pada alat itu dan sebenarnya akan membolehkan anda memantau siapa yang mengakses jadual apa, lajur apa, anda boleh mengenal pasti jadual yang mempunyai lajur sensitif, setakat tarikh lahir, maklumat pesakit, jenis jadual, dan sebenarnya melihat siapa yang mempunyai akses kepada maklumat itu dan jika ia sedang diakses.
Eric Kavanagh: Baiklah, mari kita menyelami soalan, saya rasa, di sini. Mungkin, Dez, saya akan membantingnya dahulu, dan Robin, berpura-pura dalam apa yang anda boleh.
Dez Blanchfield: Ya, saya telah gatal untuk bertanya soalan dari slaid 2 dan 3. Apakah kes penggunaan biasa yang anda lihat untuk alat ini? Siapa jenis pengguna yang paling biasa yang anda lihat yang mengamalkannya dan meletakkannya ke dalam permainan? Dan di belakang itu, tipikal, jenis, menggunakan model kes, bagaimana keadaan mereka? Bagaimana ia dilaksanakan?
Ignacio Rodriguez: Baiklah, kegunaan biasa yang kami miliki adalah DBA yang telah ditugaskan tanggungjawab kawalan akses untuk pangkalan data, yang memastikan semua izin ditetapkan seperti yang mereka perlukan dan kemudian mengamati, dan standar mereka di tempatnya. Anda tahu, ini akaun pengguna tertentu hanya boleh mempunyai akses ke jadual tertentu, dan sebagainya. Dan apa yang mereka lakukan dengannya adalah memastikan bahawa piawaian itu telah ditetapkan dan piawaian tersebut tidak berubah dari semasa ke semasa. Dan itu adalah salah satu perkara besar yang orang menggunakannya adalah untuk mengesan dan mengenal pasti jika sebarang perubahan dibuat yang tidak diketahui.
Dez Blanchfield: Kerana mereka yang menakutkan, bukan? Adakah anda mungkin mempunyai, katakan, dokumen strategi, anda mempunyai dasar yang menyokongnya, anda mempunyai kepatuhan dan pentadbiran di bawahnya, dan anda mengikuti dasar, anda mematuhi tadbir urus dan ia mendapat lampu hijau dan kemudian semua tiba-tiba sebulan kemudian seseorang menggugurkan perubahan dan atas sebab tertentu ia tidak melalui papan semak perubahan yang sama atau perubahan proses, atau apa sahaja yang mungkin, atau projek itu hanya bergerak dan tidak ada yang tahu.
Adakah anda mempunyai apa-apa contoh yang boleh anda kongsikan - dan saya tahu, secara jelas, ini tidak selalu sesuatu yang anda kongsi kerana pelanggan agak prihatin, jadi kita tidak perlu menyebutkan nama - tetapi memberi contoh kepada anda di mana anda mungkin telah melihat ini sebenarnya, anda tahu, sebuah organisasi telah meletakkan ini tanpa mengenalinya dan mereka hanya menemui sesuatu dan menyedari, "Wow, itu sepuluh kali ganda, kami hanya menemui sesuatu yang kami tidak tahu." apa-apa contoh di mana orang telah melaksanakan ini dan kemudian mendapati bahawa mereka mempunyai masalah yang lebih besar atau masalah sebenar yang mereka tidak menyedari mereka telah dan kemudian anda segera dimasukkan ke dalam senarai kad Krismas?
Ignacio Rodriguez: Baiklah, saya fikir perkara terbesar yang pernah kita lihat atau telah dilaporkan adalah apa yang saya sebutkan, sejauh akses seseorang itu. Ada pemaju dan apabila mereka melaksanakan alat itu mereka tidak menyedari bahawa jumlah X pemaju ini mempunyai banyak akses ke pangkalan data dan mempunyai akses ke objek tertentu. Dan satu lagi perkara adalah akaun baca sahaja. Terdapat beberapa akaun baca sahaja yang mereka ada, untuk mengetahui akaun baca-baca ini sebenarnya, telah memasukkan data dan memadam keistimewaan juga. Di situlah kami melihat beberapa manfaat kepada pengguna. Perkara yang besar, sekali lagi, bahawa kita telah mendengar bahawa orang suka, mampu, sekali lagi, mengesan perubahan dan memastikan tiada apa yang membutakan mereka.
Dez Blanchfield: Sama seperti Robin menyoroti, anda mempunyai senario yang orang tidak kerap berfikir, bukan? Apabila kita menanti-nantikan kita, semacam berfikir, anda tahu, jika kita melakukan segala-galanya mengikut peraturan, dan saya dapati, dan saya pasti anda melihatnya juga - beritahu saya jika anda tidak bersetuju dengannya - sangat membangunkan strategi dan dasar dan pematuhan serta tadbir urus dan KPI dan pelaporan, yang mereka sering mendapat perhatian terhadapnya, mereka tidak memikirkan tentang faktor luar. Dan Robin mempunyai contoh yang hebat yang saya akan mencuri dari dia - maaf Robin - tetapi contohnya adalah masa yang lain di mana salinan pangkalan data pangkalan data, gambar dan memasukkannya ke dalam ujian pembangunan, bukan? Kami melakukan dev, kami melakukan ujian, kami melakukan UAT, kami melakukan integrasi sistem, semua jenis barang dan kemudian kami melakukan banyak ujian pematuhan sekarang. Sentiasa ujian dev, UAT, SIT sebenarnya mempunyai komponen pematuhan di atasnya di mana kita hanya memastikan ia semua sihat dan selamat, tetapi tidak semua orang melakukannya. Contohnya yang diberikan Robin dengan satu salinan salinan pangkalan pangkalan data dimasukkan ke dalam ujian dengan persekitaran pembangunan untuk melihat apakah ia masih berfungsi dengan data langsung. Sangat sedikit syarikat yang duduk dan berfikir, "Adakah itu berlaku atau mungkin?" Mereka sentiasa terpusat pada barangan pengeluaran. Apakah perjalanan pelaksanaan seperti? Adakah kita bercakap tentang hari, minggu, bulan? Apakah yang kelihatan seperti biasa untuk organisasi saiz purata?
Ignacio Rodriguez: Hari. Ia tidak walaupun hari, maksud saya, itu hanya beberapa hari. Kami hanya menambah satu ciri di mana kita dapat mendaftarkan banyak, banyak pelayan. Daripada perlu masuk ke dalam alat itu, dan mengatakan bahawa anda mempunyai 150 pelayan, anda perlu pergi ke sana secara individu dan mendaftarkan pelayan - sekarang anda tidak perlu berbuat demikian. Terdapat fail CSV yang anda buat dan kami secara automatik mengeluarkannya dan kami tidak menyimpannya di sana kerana kebimbangan keselamatan. Tetapi itu satu lagi perkara yang perlu dipertimbangkan, adakah anda akan mempunyai fail CSV di luar sana dengan nama pengguna / kata laluan.
Apa yang kita lakukan adalah secara automatik, adakah kita memadamkannya lagi, tetapi itulah opsyen yang anda ada. Sekiranya anda ingin pergi ke sana secara individu dan mendaftar mereka dan tidak mahu mengambil risiko itu, maka anda boleh melakukannya. Tetapi jika anda mahu menggunakan fail CSV, letakkan di lokasi yang selamat, arahkan aplikasi ke lokasi tersebut, ia akan menjalankan fail CSV itu dan kemudian secara automatik ditetapkan untuk memadam fail itu sebaik sahaja selesai. Dan ia akan pergi dan pastikan dan periksa fail itu dikeluarkan. Kutub terpanjang di pasir yang kami sampaikan sejauh ini adalah pendaftaran pelayan sebenar.
Dez Blanchfield: Baiklah. Sekarang anda bercakap mengenai laporan. Bolehkah anda memberi kami lebih terperinci dan lebih mendalam tentang apa yang telah dibundarkan sebelum pelaporan hanya, saya rasa, komponen penemuan untuk melihat apa yang ada di situ dan melaporkannya, keadaan negara sekarang, dibina dan dipanggang sebelum laporan di sekitar keadaan pematuhan dan keselamatan semasa, dan bagaimana dengan mudahnya ia boleh dipanjangkan? Bagaimana kita membina mereka?
Ignacio Rodriguez: Baiklah. Beberapa laporan yang kami ada, kami mempunyai laporan yang berurusan dengan cross-server, pemeriksaan masuk, penapis pengumpulan data, sejarah aktiviti dan kemudian laporan penilaian risiko. Dan juga mana-mana akaun Windows suspek. Ada banyak, banyak di sini. Lihat suspek login SQL, log masuk pelayan dan pemetaan pengguna, kebenaran pengguna, semua kebenaran pengguna, peranan pelayan, peranan pangkalan data, beberapa kelemahan yang kami ada atau laporan pengesahan mod campuran, tetamu membolehkan pangkalan data, kerentanan OS melalui XPS, prosedur lanjutan, dan kemudian peranan tetap terdedah. Ini adalah beberapa laporan yang kami ada.
Dez Blanchfield: Dan anda menyebut bahawa mereka cukup penting dan beberapa daripada mereka, yang merupakan perkara yang logik. Betulkah saya menyesuaikannya? Jika saya menjalankan laporan dan saya mendapat graf besar yang hebat ini, tetapi saya ingin mengambil beberapa bahagian yang saya tidak benar-benar berminat dan menambah beberapa ciri-ciri lain, adakah ada penulis laporan, ada antara jenis antara muka dan alat untuk mengkonfigurasi dan menyesuaikan atau mungkin membuat laporan lain dari awal?
Ignacio Rodriguez: Kami kemudiannya mengarahkan para pengguna untuk menggunakan Perkhidmatan Laporan Microsoft SQL untuk melakukan itu dan kami mempunyai banyak pelanggan yang sebenarnya akan mengambil beberapa laporan, menyesuaikan dan menjadualkannya setiap kali mereka mahu. Sesetengah orang ini ingin melihat laporan ini secara bulanan atau mingguan dan mereka akan mengambil maklumat yang ada, memindahkannya ke Perkhidmatan Pelaporan dan kemudian lakukannya dari sana. Kami tidak mempunyai penulis laporan yang diintegrasikan dengan alat kami, tetapi kami memanfaatkan Perkhidmatan Pelaporan.
Dez Blanchfield: Saya rasa itu salah satu cabaran terbesar dengan alat ini. Anda boleh masuk ke sana dan mencari bahan, tetapi kemudian anda perlu mengeluarkannya, laporkan kepada orang yang tidak semestinya DBA dan jurutera sistem. Terdapat peranan yang menarik yang berlaku dalam pengalaman saya dan itu, anda tahu, pegawai risiko sentiasa berada di dalam organisasi dan mereka kebanyakannya berada di sekitar dan pelbagai risiko yang kami saksikan baru-baru ini, sedangkan sekarang dengan data pelanggaran menjadi bukan sekadar tsunami yang sebenarnya, CRO telah menjadi, anda tahu, SDM dan kepatuhan dan fokus kesihatan dan jenis pekerjaan keselamatan sekarang untuk risiko cyber. Anda tahu, pelanggaran, penggodaman, keselamatan - lebih banyak teknikal. Dan ia semakin menarik kerana terdapat banyak CRO yang datang dari silsilah MBA dan bukannya silsilah teknikal, jadi mereka perlu mendapatkan kepala mereka, seperti apa yang dimaksudkan untuk peralihan antara risiko siber yang bergerak ke CRO, dan sebagainya. Tetapi perkara besar yang mereka mahu hanyalah pelaporan penglihatan.
Bolehkah anda beritahu kami apa-apa di sekitar kedudukan berkenaan dengan pematuhan? Sudah tentu salah satu daripada kekuatan besar ini ialah anda dapat melihat apa yang sedang berlaku, anda boleh memantaunya, anda boleh belajar, anda boleh melaporkannya, anda boleh bertindak balas terhadapnya, anda bahkan boleh mengecewakan beberapa perkara. Cabaran yang menyeluruh adalah pematuhan tadbir urus. Adakah terdapat bahagian-bahagian utama ini yang sengaja dikaitkan dengan keperluan pematuhan yang sedia ada atau pematuhan industri seperti PCI, atau sesuatu seperti itu pada masa ini, atau adakah sesuatu yang turun peta jalan? Adakah ia, semacam, sesuai dengan rangka kerja seperti COBIT, ITIL dan piawaian ISO? Jika kami menggunakan alat ini, adakah ia memberi kami satu siri cek dan baki yang sesuai dengan kerangka kerja tersebut, atau bagaimana kami membinanya ke dalam kerangka kerja tersebut? Di manakah kedudukan dengan perkara-perkara seperti itu dalam fikiran?
Ignacio Rodriguez: Ya, terdapat templat yang kita ada yang kami sampaikan dengan alat ini. Dan kami akan kembali ke mana kami mengkaji semula templat kami dan kami akan menambah dan akan ada lebih banyak lagi akan datang. FISMA, FINRA, beberapa templat tambahan yang kami ada, dan kami biasanya meninjau templat tersebut dan melihat untuk melihat apa yang telah berubah, apa yang perlu kami tambah? Dan kita sebenarnya mahu sampai ke tahap di mana, anda tahu, keperluan keselamatan telah berubah agak sedikit, jadi kami sedang mencari jalan untuk menjadikannya mudah terbalik. Itulah sesuatu yang kita cari pada masa depan.
Tetapi sekarang kita sedang mencari mungkin membuat templat dan dapat mendapatkan templat dari laman web; anda boleh memuat turunnya. Dan itulah cara kami mengendalikannya - kami mengendalikan mereka melalui templat, dan kami sedang mencari cara di masa hadapan di sini untuk membuatnya mudah dan cepat. Kerana apabila saya biasa melakukan pengauditan, anda tahu, perkara berubah. Juruaudit akan datang sebulan dan bulan depan mereka mahu melihat sesuatu yang berbeza. Maka itulah salah satu cabaran dengan alat ini, mampu membuat perubahan itu dan mendapatkan apa yang anda perlukan, dan itulah, jenis, di mana kita mahu.
Dez Blanchfield: Saya rasa bahawa cabaran juruaudit berubah secara teratur memandangkan hakikat dunia bergerak lebih cepat. Dan pada suatu ketika, keperluan dari sudut pandang audit, dalam pengalaman saya, hanya akan menjadi pematuhan komersil yang murni, dan kemudian ia menjadi kepatuhan teknikal dan kini ia mematuhi pematuhan. Dan ada yang lain, anda tahu, setiap hari seseorang muncul dan mereka bukan hanya mengukur anda pada sesuatu seperti operasi ISO 9006 dan 9002, mereka melihat semua jenis perkara. Dan saya lihat sekarang 38, 000 siri menjadi perkara yang besar juga dalam ISO. Saya bayangkan ia akan menjadi lebih mencabar. Saya akan menyerahkan kepada Robin kerana saya telah menyeberang lebar jalur itu.
Terima kasih banyak, dan saya pasti akan menghabiskan lebih banyak masa untuk mengenalinya kerana saya tidak menyedari bahawa ia sebenarnya agak mendalam. Jadi, terima kasih, Ignacio, saya akan menyerahkan kepada Robin sekarang. Persembahan hebat, terima kasih. Robin, kepada anda.
Dr Robin Bloor: Okay Iggy, saya akan menghubungi anda Iggy, jika itu tidak apa-apa. Apa yang menggembirakan saya, dan saya berfikir berdasarkan beberapa perkara yang dikatakan oleh Dez dalam persembahannya, terdapat banyak sekali yang berlaku di sana bahawa anda harus mengatakan bahawa orang benar-benar tidak menjaga data. Anda tahu, terutamanya apabila ia datang kepada fakta bahawa anda hanya melihat sebahagian daripada aisberg dan mungkin ada banyak yang tidak melaporkan siapa-siapa. Saya berminat dengan perspektif anda tentang berapa ramai pelanggan yang anda sedar, atau bakal pelanggan yang anda sedar, mempunyai tahap perlindungan yang anda, jenisnya, menawarkan bukan hanya ini, tetapi juga teknologi capaian data anda? Maksud saya, yang di luar sana dilengkapi dengan betul untuk menangani ancaman, adalah soalan?
Ignacio Rodriguez: Siapa yang dilengkapi dengan betul? Maksud saya, banyak pelanggan yang kita telah benar-benar tidak menangani sebarang jenis audit, anda tahu. Mereka mempunyai beberapa, tetapi perkara besar cuba untuk bersaing dengannya dan cuba mengekalkannya dan memastikannya. Isu besar yang kita lihat adalah - dan walaupun saya mempunyai ketika saya melakukan pematuhan, adalah - jika anda menjalankan skrip anda, anda akan melakukannya sekali setiap suku ketika juruaudit akan masuk dan anda telah menemui masalah. Nah, rasa apa, sudah terlambat, pengauditan di sana, juruaudit ada di sana, mereka mahu laporan mereka, mereka bendera. Dan kemudian sama ada kita mendapat tanda atau kami diberitahu, hey, kita perlu membetulkan isu-isu ini, dan itulah di mana ia akan masuk. Ini akan menjadi lebih banyak perkara yang proaktif di mana anda boleh mencari risiko anda dan mengurangkan risiko itu. apa yang dicari oleh pelanggan kami. Satu cara untuk menjadi agak proaktif berbanding dengan reaktif apabila juruaudit masuk dan mencari beberapa akses tidak di mana mereka perlu, orang lain mempunyai keistimewaan pentadbiran dan mereka tidak sepatutnya mempunyai mereka, jenis perkara. Dan di sinilah kita telah melihat banyak maklum balas dari, bahawa orang suka alat ini dan menggunakannya.
Dr. Robin Bloor: Baiklah, satu lagi soalan yang saya dapat, yang mana satu persoalan jelas, tetapi saya hanya ingin tahu. Berapa ramai orang yang sebenarnya datang kepada anda berikutan hack? Di mana, anda tahu, anda mendapat perniagaan, bukan kerana mereka melihat persekitaran mereka dan menganggap bahawa mereka perlu dijamin dengan cara yang lebih teratur, tetapi sebenarnya anda berada di sana hanya kerana mereka telah mengalami beberapa kesakitan.
Ignacio Rodriguez: Di zaman saya di sini di IDERA saya tidak pernah melihatnya. Untuk jujur dengan anda, kebanyakan interaksi yang saya hadapi dengan pelanggan yang saya telah terlibat adalah lebih menanti dan cuba untuk memulakan pengauditan dan mula melihat keistimewaan, dan sebagainya. Seperti yang saya katakan, saya mempunyai diri saya sendiri, yang tidak berpengalaman dalam masa saya di sini, bahawa kita mempunyai sesiapa yang datang selepas pelanggaran yang saya tahu.
Dr. Robin Bloor: Oh, itu menarik. Saya fikir ada sekurang-kurangnya beberapa. Saya sebenarnya melihat ini, tetapi juga menambahnya, semua kerumitan yang sebenarnya membuat data selamat di seluruh perusahaan dalam setiap cara dan dalam setiap aktiviti yang anda lakukan. Adakah anda menawarkan perundingan secara langsung untuk membantu orang ramai? Maksud saya, jelas bahawa anda boleh membeli alat, tetapi dalam pengalaman saya, orang sering membeli alat yang canggih dan menggunakannya dengan sangat teruk. Adakah anda menawarkan perundingan khusus - apa yang perlu dilakukan, siapa yang perlu dilatih dan perkara seperti itu?
Ignacio Rodriguez: Terdapat beberapa perkhidmatan yang anda boleh, sejauh perkhidmatan sokongan, yang akan membolehkan beberapa perkara itu berlaku. Tetapi sejauh konsultasi, kami tidak menyediakan apa-apa perkhidmatan perundingan tetapi latihan, anda tahu, bagaimana menggunakan alat dan barangan seperti itu, sebahagiannya akan ditangani dengan tahap sokongan. Tetapi kita tidak mempunyai jabatan perkhidmatan yang keluar dan melakukan itu.
Dr. Robin Bloor: Baiklah. Dari segi pangkalan data yang anda sampaikan, pembentangan di sini hanya menyebutkan Microsoft SQL Server - adakah anda melakukan Oracle juga?
Ignacio Rodriguez: Kami akan berkembang ke alam Oracle dengan Pengurus Kepatuhan terlebih dahulu. Kami akan memulakan projek dengan itu supaya kami akan melihat perkembangan ini ke dalam Oracle.
Dr Robin Bloor: Dan adakah anda mungkin pergi ke tempat lain?
Ignacio Rodriguez: Ya, itulah sesuatu yang kita perlu lihat di jalanraya dan melihat bagaimana keadaannya, tetapi itulah beberapa perkara yang kita sedang mempertimbangkan, apakah platform pangkalan data lain yang kita perlukan untuk menyerang juga.
Dr Robin Bloor: Saya juga berminat untuk berpecah, saya tidak mendapat gambaran yang lebih tepat tentang ini, tetapi dari segi penyebaran, berapa banyak yang sebenarnya digunakan dalam awan, atau hampir semua premis ?
Ignacio Rodriguez: Semua di premis. Kami sedang mencari untuk memperluas Secure juga untuk menampung Azure, ya.
Dr. Robin Bloor: Itulah soalan Azure, anda tidak ada di sana tetapi anda pergi ke sana, ia membuat banyak akal.
Ignacio Rodriguez: Ya, kami akan pergi ke sana tidak lama lagi.
Dr. Robin Bloor: Ya, baiklah, pemahaman saya dari Microsoft adalah bahawa terdapat banyak tindakan yang besar dengan Microsoft SQL Server di Azure. Ia menjadi, jika anda suka, bahagian utama dari apa yang mereka tawarkan. Persoalan lain yang saya berminat - ia bukan teknikal, ia lebih seperti soalan bagaimana-anda-terlibat-siapa pembeli untuk ini? Adakah anda didekati oleh jabatan IT atau adakah anda didekati oleh OMS, atau adakah ia berbeza-beza orang? Apabila sesuatu seperti ini sedang dipertimbangkan, adakah ia sebahagian daripada melihat pelbagai perkara untuk mendapatkan alam sekitar? Apakah keadaan di sana?
Ignacio Rodriguez: Ia campuran. Kami mempunyai CSO, banyak kali pasukan jualan akan menghubungi dan berbincang dengan DBA. Dan kemudian DBAs, sekali lagi, telah disewa dengan mendapatkan beberapa jenis dasar proses pengauditan di tempat. Dan kemudian dari situ mereka akan menilai alat dan melaporkan rangkaian dan membuat keputusan mengenai bahagian mana yang mereka ingin beli. Tetapi ia adalah beg campuran siapa yang akan menghubungi kami.
Dr. Robin Bloor: Baiklah. Saya fikir saya akan menyerahkan kembali kepada Eric sekarang kerana kita telah, semacam, telah menyelesaikan jam itu, tetapi mungkin terdapat beberapa soalan penonton. Eric?
Eric Kavanagh: Ya, kami telah membakar banyak kandungan yang bagus di sini. Berikut adalah satu soalan yang sangat baik yang saya akan bawa kepada anda dari salah seorang peserta. Dia bercakap tentang blockchain dan apa yang anda sedang bicarakan, dan dia bertanya, adakah ada cara yang mungkin untuk memindahkan bahagian baca sahaja dari pangkalan data SQL ke sesuatu yang serupa dengan tawaran blockchain apa? Ia jenis yang sukar.
Ignacio Rodriguez: Ya, saya akan jujur dengan anda, saya tidak mempunyai jawapan kepada yang tersebut.
Eric Kavanagh: Saya akan membuangnya ke Robin. Saya tidak tahu sama ada anda mendengar soalan itu, Robin, tetapi dia hanya bertanya, adakah ada cara untuk memindahkan bahagian bacaan hanya dari satu pangkalan data SQL ke sesuatu yang serupa dengan tawaran blockchain? Apa yang anda fikirkan tentang itu?
Dr. Robin Bloor: Sama seperti, jika anda akan memindahkan pangkalan data anda juga akan memindahkan trafik pangkalan data. Terdapat satu rangkaian kompleksiti yang terlibat dalam melakukan itu. Tetapi anda tidak akan melakukannya untuk apa-apa sebab selain membuat data dicabul. Kerana blokchain akan menjadi perlahan untuk diakses, jadi, anda tahu, jika kelajuan adalah perkara anda - dan ia hampir selalu menjadi perkara - maka anda tidak akan melakukannya. Tetapi jika anda ingin memberi, jenis, akses yang disulitkan dengan key kepada sebahagiannya kepada sesetengah orang melakukan perkara sedemikian, anda boleh melakukannya, tetapi anda perlu mempunyai sebab yang sangat baik. Anda lebih cenderung untuk meninggalkannya di mana ia berada dan selamat di mana ia berada.
Dez Blanchfield: Ya, saya bersetuju dengan itu, jika saya boleh menimbang dengan pantas. Saya fikir cabaran blockchain, walaupun blockchain yang di luar sana, digunakan pada bitcoin - kita mendapati sukar untuk mengatasinya, semacam, empat transaksi seminit dalam bentuk yang diedarkan sepenuhnya. Tidak begitu banyak kerana cabaran komputasi, walaupun ada di sana, nod penuh hanya mendapati sukar untuk mengikuti volum pangkalan data yang bergerak ke belakang dan ke depan dan jumlah data yang disalin kerana ia adalah persembahan sekarang, bukan hanya meg.
Tetapi, saya fikir cabaran utama adalah anda perlu mengubah seni bina aplikasi kerana dalam pangkalan data ia mendominasi tentang membawa segala sesuatu ke lokasi pusat dan anda mempunyai model jenis pelayan klien. Blockchain adalah terbalik; ia mengenai salinan yang diedarkan. Ia lebih seperti BitTorrent dalam banyak cara, dan itu adalah banyak salinan di luar sana dari data yang sama. Dan, anda tahu, seperti pangkalan data Cassandra dan in-memory di mana anda mengedarkannya dan banyak pelayan dapat memberikan anda salinan data yang sama dari indeks yang diedarkan. Saya fikir kedua-dua bahagian utama, seperti yang anda katakan, Robin, adalah: satu, jika anda mahu mengamankannya dan memastikan ia tidak boleh dicuri atau digodam, itu bagus, tetapi ia tidak semestinya platform transaksional lagi, dan kami 'telah berpengalaman dengan projek bitcoin. Tetapi dalam teori orang lain telah menyelesaikannya. Tetapi juga, banyak aplikasi dalam arsitektur di luar sana tidak tahu bagaimana untuk membuat pertanyaan dan membaca dari blockchain.
Terdapat banyak kerja yang perlu dilakukan di sana. Tetapi saya fikir perkara utama dengan persoalan di sana, sekiranya saya boleh, adalah rasional memindahkannya ke blockchain, saya fikir soalan yang ditanya adalah, bolehkah anda mengambil data daripada pangkalan data dan memasukkannya ke dalam beberapa bentuk yang lebih selamat? Dan jawapannya, anda boleh meninggalkannya dalam pangkalan data dan hanya menyulitkannya. Terdapat banyak teknologi sekarang. Hanya menyulitkan data dengan tenang atau bergerak. Tidak ada sebab mengapa anda tidak boleh mempunyai data yang disulitkan dalam ingatan dan dalam pangkalan data pada cakera, yang merupakan cabaran yang jauh lebih mudah kerana anda tidak mempunyai perubahan seni bina tunggal. Platform platform pangkalan data yang paling biasa, ia sebenarnya hanya ciri yang membolehkannya diaktifkan.
Eric Kavanagh: Ya, kita ada satu soalan terakhir yang akan saya bawa kepada kamu, Iggy. Ia bagus sekali. Dari perspektif perancangan kapasiti SLA, apakah jenis cukai yang ada dengan menggunakan sistem anda? Dengan kata lain, apa-apa latensi tambahan atau overhead overput jika, dalam sistem pangkalan data pengeluaran, seseorang mahu melibatkan teknologi IDERA di sini?
Ignacio Rodriguez: Kami benar-benar tidak melihat banyak impak. Sekali lagi, ia adalah produk tanpa agen dan semuanya bergantung kepada, seperti yang saya nyatakan sebelum ini, snapshots. Selamat didasarkan pada syot kilat. Ia akan pergi ke sana dan sebenarnya mencipta pekerjaan yang akan keluar di sana berdasarkan selang-seling yang telah anda pilih. Sama ada anda mahu melakukannya, sekali lagi, mingguan, setiap hari, bulanan. Ia akan pergi ke sana dan melaksanakan tugas itu dan kemudian mengumpul data dari keadaan itu. Pada ketika itu beban kemudian kembali kepada pengurusan dan perkhidmatan pengumpulan, apabila anda mula membuat perbandingan dan semua itu, beban pada pangkalan data tidak memainkan peranan dalam itu. Segala beban itu kini berada pada pelayan pengurusan dan koleksi, sejauh membuat perbandingan dan semua pelaporan dan semua itu. Satu-satunya masa anda memukul pangkalan data adalah sentiasa apabila ia melakukan snapshotting sebenar. Dan kami tidak mempunyai sebarang laporan yang benar-benar memudaratkan persekitaran pengeluaran.
Eric Kavanagh: Ya, itu satu perkara yang sangat baik yang anda buat di sana. Pada dasarnya anda boleh menetapkan berapa banyak gambar yang anda ambil, apa yang selang masa, dan bergantung kepada apa yang mungkin berlaku, tetapi itu seni bina yang sangat pintar. Itulah barangan yang baik, lelaki. Nah, anda semua berada di barisan hadapan yang cuba melindungi kami dari semua penggodam yang kami ceritakan dalam 25 minit pertama pertunjukan. Dan mereka di luar sana, orang-orang, tidak membuat kesalahan.
Nah, dengar, kami akan menyiarkan pautan ke webcast ini, arkib, di laman web kami di dalamanalysis.com. Anda boleh mencari barangan di SlideShare, anda boleh menemuinya di YouTube. Dan orang-orang, barangan yang baik. Terima kasih atas waktunya, Iggy, saya suka nama panggilan anda, dengan cara ini. Dengan itu kami akan membida anda perpisahan, orang-orang. Terima kasih banyak untuk masa dan perhatian anda. Kami akan mengejar masa depan anda. Selamat tinggal.