Bawa pulang: Tuan rumah Eric Kavanagh membahas keamanan dan izin dengan Dr. Robin Bloor dan IDERA Vicky Harp.
Anda saat ini belum masuk. Silakan masuk atau daftar untuk melihat video.
Eric Kavanagh: OK, tuan dan nyonya, halo dan selamat datang kembali. Ini hari Rabu, empat Timur dan di dunia teknologi perusahaan yang berarti waktunya sekali lagi untuk Teknologi Panas! Ya memang. Dipersembahkan oleh Bloor Group tentunya, didukung oleh teman-teman kami di Techopedia. Topik untuk hari ini adalah topik yang sangat keren: “Lebih baik untuk Meminta Izin: Praktik Terbaik untuk Privasi dan Keamanan.” Itu benar, jenisnya topik yang sulit, banyak orang membicarakannya, tetapi ini cukup serius, dan ini benar-benar semakin serius setiap hari, terus terang saja. Ini adalah masalah serius bagi banyak organisasi. Kami akan membicarakan hal itu dan akan membicarakan apa yang dapat Anda lakukan untuk melindungi organisasi Anda dari karakter jahat yang tampaknya ada di mana-mana akhir-akhir ini.
Jadi presenter hari ini adalah Vicky Harp yang menelepon dari IDERA. Anda dapat melihat Perangkat Lunak IDERA di LinkedIn - Saya menyukai fungsionalitas baru di LinkedIn. Meskipun saya dapat memberitahu mereka menarik beberapa hal dengan cara tertentu, tidak membiarkan Anda mengakses orang, mencoba membuat Anda membeli keanggotaan premium tersebut. Begitulah, kami memiliki Robin Bloor kami sendiri, memutar nomor - sebenarnya di wilayah San Diego hari ini. Dan Anda benar-benar sebagai moderator / analis Anda.
Jadi apa yang kita bicarakan? Pelanggaran data. Saya baru saja mengambil informasi ini dari IdentityForce.com, yang sudah dimatikan untuk balapan. Tentu saja pada bulan Mei tahun ini, dan hanya ada satu ton pelanggaran data, ada beberapa yang sangat besar, tentu saja, oleh Yahoo! adalah yang besar, dan kami mendengar tentu saja pemerintah AS diretas. Kami baru saja pemilihan Prancis diretas.
Ini terjadi di mana-mana, terus dan tidak akan berhenti, jadi ini adalah kenyataan, ini adalah realitas baru, seperti yang mereka katakan. Kami benar-benar perlu memikirkan cara untuk menegakkan keamanan sistem kami dan data kami. Dan ini merupakan proses yang berkelanjutan, jadi tepat pada waktunya untuk memikirkan semua masalah berbeda yang ikut bermain. Ini hanya sebagian daftar, tetapi ini memberi Anda beberapa perspektif tentang betapa gentingnya situasi saat ini dengan sistem perusahaan. Dan sebelum pertunjukan ini, dalam olok-olok pra-pertunjukan kami, kami berbicara tentang ransomware yang telah mengenai seseorang yang saya kenal, yang merupakan pengalaman yang sangat tidak menyenangkan, ketika seseorang mengambil alih iPhone Anda dan meminta uang agar Anda mendapatkan kembali akses ke telepon Anda. Tapi itu terjadi, itu terjadi pada komputer, itu terjadi pada sistem, saya melihat beberapa hari yang lalu, itu terjadi pada miliarder dengan kapal pesiar mereka. Bayangkan pergi ke kapal pesiar Anda suatu hari, mencoba mengesankan semua teman Anda dan Anda bahkan tidak bisa menyalakannya, karena beberapa pencuri telah mencuri akses ke kontrol, panel kontrol. Saya hanya mengatakan suatu hari dalam sebuah wawancara dengan seseorang, selalu memiliki manual menimpa. Seperti, saya bukan penggemar berat semua mobil yang terhubung - bahkan mobil bisa diretas. Apa pun yang terhubung ke internet, atau terhubung ke jaringan yang dapat ditembus dapat diretas, apa saja.
Jadi, berikut ini hanya beberapa hal yang perlu dipertimbangkan dalam hal membingkai con tentang seberapa serius situasinya. Sistem berbasis web ada dimana-mana akhir-akhir ini, mereka terus berkembang biak. Berapa banyak orang yang membeli barang secara online? Hanya melalui atap hari ini, itulah sebabnya Amazon adalah kekuatan yang kuat hari ini. Itu karena begitu banyak orang membeli barang secara online.
Jadi, Anda ingat saat itu, 15 tahun yang lalu, orang-orang sangat gugup memasukkan kartu kredit mereka ke dalam formulir web untuk mendapatkan informasi mereka, dan saat itu, argumennya adalah, “Ya, jika Anda menyerahkan kartu kredit Anda kepada pelayan di sebuah restoran, maka itu hal yang sama. ”Jadi, jawaban kami adalah ya, itu adalah hal yang sama, ada semua titik kontrol ini, atau titik akses, hal yang sama, sisi berbeda dari koin yang sama, di mana orang dapat ditempatkan dalam bahaya, di mana seseorang dapat mengambil uang Anda, atau seseorang dapat mencuri dari Anda.
Lalu IOT tentu saja memperluas bentang alam ancaman - Saya suka kata itu - atas perintah besarnya. Maksud saya, pikirkanlah - dengan semua perangkat baru ini di mana-mana, jika seseorang dapat meretas ke dalam sistem yang mengontrolnya, mereka dapat mengubah semua bot itu terhadap Anda dan menyebabkan banyak masalah, jadi itu masalah yang sangat serius. Kami memiliki ekonomi global akhir-akhir ini, yang semakin memperluas bentang alam ancaman, dan terlebih lagi, Anda memiliki orang-orang di negara lain yang dapat mengakses web dengan cara yang sama seperti Anda dan saya, dan jika Anda tidak tahu bagaimana berbicara dalam bahasa Rusia, atau berapa pun bahasa lain, Anda akan kesulitan memahami apa yang terjadi ketika mereka meretas sistem Anda. Jadi kami memiliki kemajuan dalam jaringan dan virtualisasi, itu bagus.
Tetapi saya memiliki di sisi kanan gambar ini di sini, sebuah pedang dan alasan saya memilikinya di sana adalah karena setiap pedang memotong dua arah. Itu pedang bermata dua, seperti yang mereka katakan, dan itu adalah klise lama, tetapi itu berarti pedang yang aku miliki bisa membahayakanmu atau itu bisa membahayakanku. Itu bisa kembali pada saya, baik dengan bangkit kembali, atau oleh seseorang yang mengambilnya. Ini sebenarnya salah satu dongeng Aesops - kita sering memberikan musuh kita alat penghancuran kita sendiri. Ini benar-benar alur cerita yang menarik dan ada hubungannya dengan seseorang yang menggunakan busur dan anak panah dan menembak jatuh seekor burung dan burung itu melihat, ketika anak panah itu muncul, bulu dari salah satu teman unggasnya ada di ujung panah, di belakang panah untuk membimbingnya, dan dia berpikir dalam hati, “Ya ampun, ini dia, buluku sendiri, keluargaku sendiri akan terbiasa untuk menjatuhkanku.” Itu terjadi sepanjang waktu, kamu dengar statistik tentang Anda memiliki pistol di rumah, pencuri dapat mengambil pistol. Ya, ini semua benar. Jadi, saya melempar ini ke luar sebagai analogi hanya untuk mempertimbangkan, semua perkembangan yang berbeda ini memiliki sisi positif dan sisi negatif.
Dan berbicara tentang, wadah untuk Anda yang benar-benar mengikuti ujung tombak komputasi perusahaan, wadah adalah hal terbaru, cara terbaru untuk memberikan fungsionalitas, ini benar-benar perkawinan virtualisasi dalam arsitektur berorientasi layanan, setidaknya untuk layanan mikro dan hal yang sangat menarik. Anda tentu dapat mengaburkan protokol keamanan Anda dan protokol aplikasi Anda dan data Anda dan sebagainya, dengan menggunakan wadah, dan itu memberi Anda uang muka untuk jangka waktu tertentu, tetapi cepat atau lambat, orang-orang jahat akan mencari tahu, dan maka itu akan menjadi lebih sulit untuk mencegah mereka mengambil keuntungan dari sistem Anda. Jadi, ada itu, ada tenaga kerja global yang menyulitkan jaringan dan keamanan, dan dari mana orang-orang masuk.
Kami punya perang browser yang terus berlanjut, dan membutuhkan pekerjaan terus-menerus untuk memperbarui dan tetap di atas segalanya. Kami terus mendengar tentang browser Microsoft Explorer lama, bagaimana mereka diretas dan tersedia di sana. Jadi, ada lebih banyak uang yang bisa dihasilkan dari peretasan hari ini, ada seluruh industri, ini adalah sesuatu yang diajarkan oleh pasangan saya, Dr. Bloor delapan tahun lalu - Saya bertanya-tanya mengapa kita melihat begitu banyak, dan dia mengingatkan saya, ini adalah seluruh industri yang terlibat dalam peretasan. Dan dalam hal itu, narasi, yang merupakan salah satu kata favorit saya tentang keamanan, benar-benar sangat tidak jujur, karena narasi menunjukkan kepada Anda di semua video ini dan segala jenis liputan berita tentang beberapa peretasan yang mereka perlihatkan pada seorang pria dengan hoodie, duduk di ruang bawah tanahnya di ruangan yang gelap, itu sama sekali tidak terjadi. Itu sama sekali tidak mewakili kenyataan. Peretas satu-satunya, sangat sedikit peretas, mereka di luar sana, mereka menyebabkan beberapa masalah - mereka tidak akan menyebabkan masalah besar, tetapi mereka dapat menghasilkan banyak uang. Jadi apa yang terjadi adalah para peretas masuk, dan menembus sistem Anda dan kemudian menjual akses itu ke orang lain, yang berbalik dan menjualnya kepada orang lain, dan kemudian di suatu tempat, seseorang mengeksploitasi peretasan itu dan mengambil keuntungan dari Anda. Dan ada banyak cara untuk mengambil keuntungan dari data yang dicuri.
Aku bahkan telah mengagumi diriku sendiri tentang bagaimana kita telah mengagungkan konsep ini. Anda melihat istilah ini di mana-mana, "peretasan pertumbuhan" seperti hal yang baik. Pertumbuhan peretasan, Anda tahu, peretasan bisa menjadi hal yang baik, jika Anda mencoba bekerja untuk orang-orang baik sehingga untuk berbicara dan meretas ke dalam sistem, seperti kita terus mendengar tentang Korea Utara dan peluncuran rudal mereka, berpotensi diretas - itu bagus . Tetapi peretasan seringkali merupakan hal yang buruk. Jadi sekarang memuliakannya, hampir seperti Robin Hood, ketika kami mengagungkan Robin Hood. Dan kemudian ada masyarakat tanpa uang tunai, sesuatu yang terus terang menjadi perhatian saya. Yang saya pikirkan setiap kali saya mendengar itu adalah, “Tidak, tolong jangan lakukan itu! Tolong jangan! ”Saya tidak ingin semua uang kita hilang. Jadi, ini hanya beberapa masalah untuk dipertimbangkan, dan sekali lagi, ini adalah permainan kucing-dan-tikus; itu tidak akan pernah berhenti, akan selalu ada kebutuhan untuk protokol keamanan dan untuk memajukan protokol keamanan. Dan untuk memantau sistem Anda bahkan untuk mengetahui dan merasakan siapa di luar sana, dengan pengertian bahwa itu bahkan bisa menjadi pekerjaan orang dalam. Jadi, ini adalah masalah yang sedang berlangsung, ini akan menjadi masalah yang sedang berlangsung untuk beberapa waktu - jangan membuat kesalahan tentang itu.
Dan dengan itu, saya akan menyerahkannya kepada Dr. Bloor, yang dapat berbagi dengan kami beberapa pemikiran tentang mengamankan basis data. Robin, bawa pergi.
Robin Bloor: OK, salah satu peretasan yang menarik, saya pikir itu terjadi sekitar lima tahun yang lalu, tetapi pada dasarnya itu adalah perusahaan pemrosesan kartu yang diretas. Dan sejumlah besar detail kartu dicuri. Tetapi hal yang menarik tentang hal itu, bagi saya, adalah fakta bahwa itu adalah basis data uji yang benar-benar mereka peroleh, dan mungkin itulah masalahnya bahwa mereka mengalami kesulitan besar untuk masuk ke dalam basis data pemrosesan kartu yang sebenarnya dan nyata. Tapi Anda tahu bagaimana ini dengan pengembang, mereka hanya mengambil potongan database, mendorongnya di sana. Harus ada kewaspadaan yang jauh lebih besar untuk menghentikan itu. Tapi ada banyak cerita peretasan yang menarik, itu membuat di satu daerah, itu membuat subjek yang sangat menarik.
Jadi saya akan benar-benar, dengan satu atau lain cara, mengulangi beberapa hal yang dikatakan Eric, tetapi mudah untuk memikirkan keamanan data sebagai target statis; lebih mudah hanya karena lebih mudah untuk menganalisis situasi statis dan kemudian berpikir untuk menempatkan pertahanan, pertahanan di sana, tetapi tidak. Sasaran yang bergerak dan itulah salah satu hal yang mendefinisikan seluruh ruang keamanan. Hanya dengan cara semua teknologi berevolusi, teknologi orang jahat berevolusi juga. Jadi, tinjauan singkat: Pencurian data bukanlah hal yang baru, pada kenyataannya, spionase data adalah pencurian data dan itu telah berlangsung selama ribuan tahun, saya pikir.
Pencurian data terbesar dalam istilah itu adalah Inggris melanggar kode Jerman dan Amerika melanggar kode Jepang, dan cukup banyak dalam kedua kasus mereka memperpendek perang sangat. Dan mereka hanya mencuri data yang berguna dan berharga, tentu saja sangat pintar, tetapi Anda tahu, apa yang terjadi saat ini sangat pintar dalam banyak hal. Pencurian dunia maya lahir dengan internet dan meledak sekitar tahun 2005. Saya pergi dan melihat semua statistik dan ketika Anda mulai menjadi sangat serius dan, dalam beberapa hal, angka yang sangat tinggi mulai sekitar tahun 2005. Hanya saja semakin buruk sejak kemudian. Banyak pemain, pemerintah terlibat, bisnis terlibat, kelompok peretas dan individu.
Saya pergi ke Moskow - itu pasti sekitar lima tahun - dan saya benar-benar menghabiskan banyak waktu dengan seorang pria dari Inggris, yang meneliti seluruh ruang peretasan. Dan dia mengatakan itu - dan saya tidak tahu apakah ini benar, saya hanya punya kata-kata untuk itu, tetapi sepertinya sangat mungkin - bahwa di Rusia ada sesuatu yang disebut Jaringan Bisnis, yang merupakan sekelompok peretas yang semuanya, Anda tahu, mereka keluar dari reruntuhan KGB. Dan mereka menjual diri mereka sendiri, bukan hanya, maksud saya, saya yakin pemerintah Rusia menggunakannya, tetapi mereka menjual diri mereka kepada siapa pun, dan itu dikabarkan, atau dia mengatakan dikabarkan, bahwa berbagai pemerintah asing menggunakan Jaringan Bisnis untuk penyangkalan yang masuk akal . Orang-orang ini memiliki jaringan jutaan PC yang dikompromikan yang dapat mereka serang. Dan mereka memiliki semua alat yang dapat Anda bayangkan.
Jadi, teknologi serangan dan pertahanan berkembang. Dan bisnis memiliki kewajiban menjaga data mereka, apakah mereka memilikinya atau tidak. Dan itu mulai menjadi lebih jelas dalam hal berbagai potongan peraturan yang sebenarnya sudah berlaku, atau mulai berlaku. Dan sepertinya akan membaik, seseorang dengan satu atau lain cara, seseorang harus menanggung biaya peretasan sedemikian rupa sehingga mereka diminta untuk menutup kemungkinan. Itulah salah satu hal yang saya kira perlu. Jadi tentang peretas, mereka dapat ditemukan di mana saja. Khususnya di dalam organisasi Anda - banyak sekali peretasan cerdik yang pernah saya dengar melibatkan seseorang yang membuka pintu. Anda tahu, orang itu, seperti situasi perampok bank, hampir selalu mereka katakan dalam perampokan bank yang baik ada orang dalam. Tetapi orang dalam hanya perlu memberikan informasi, sehingga sulit untuk mendapatkannya, untuk mengetahui siapa orang itu, dan seterusnya dan seterusnya.
Dan mungkin sulit untuk membawa mereka ke pengadilan, karena jika Anda diretas oleh sekelompok orang di Moldova, bahkan jika Anda tahu itu adalah kelompok itu, bagaimana Anda akan membuat semacam peristiwa hukum terjadi di sekitar mereka? Jenisnya, dari satu yurisdiksi ke yurisdiksi lain, hanya saja, tidak ada seperangkat pengaturan internasional yang sangat baik untuk menjabarkan para peretas. Mereka berbagi teknologi dan informasi; banyak dari itu adalah open source. Jika Anda ingin membuat virus sendiri, ada banyak paket virus di luar sana - sepenuhnya open source. Dan mereka memiliki sumber daya yang cukup besar, ada sejumlah botnet yang memiliki lebih dari satu juta perangkat yang dikompromikan di pusat data dan pada PC dan sebagainya. Beberapa adalah bisnis yang menguntungkan yang telah berjalan lama, dan kemudian ada kelompok pemerintah, seperti yang saya sebutkan.Tidak mungkin, seperti kata Eric, tidak mungkin fenomena ini akan berakhir.
Jadi, ini adalah retasan yang menarik. Saya pikir saya menyebutkannya, karena ini adalah retasan yang cukup baru; itu terjadi tahun lalu. Ada kerentanan dalam kontrak DAO yang terkait dengan koin crypto Etherium. Dan itu dibahas di forum, dan dalam sehari, kontrak DAO diretas, menggunakan kerentanan itu dengan tepat. $ 50 juta dalam eter disedot, menyebabkan krisis langsung dalam proyek DAO dan menutupnya. Dan Etherium benar-benar berjuang untuk mencoba dan menjaga hacker dari akses ke uang, dan mereka agak mengurangi pendapatnya. Tetapi juga diyakini - tidak diketahui secara pasti - bahwa peretas itu benar-benar memperpendek harga eter sebelum serangannya, mengetahui bahwa harga eter akan runtuh, dan dengan demikian menghasilkan keuntungan dengan cara lain.
Dan itu lain, jika Anda suka, siasat bahwa peretas dapat menggunakan. Jika mereka dapat merusak harga saham Anda, dan mereka tahu mereka akan melakukan itu, maka itu hanya perlu bagi mereka untuk memperpendek harga saham dan melakukan peretasan, jadi jenisnya, orang-orang ini cerdas, Anda tahu. Dan harganya adalah pencurian uang, gangguan, dan tebusan, termasuk investasi, di mana Anda mengganggu dan memperpendek stok, sabotase, pencurian identitas, segala macam penipuan, hanya demi iklan. Dan itu cenderung politis, atau jelas, memata-matai informasi dan bahkan ada orang yang mencari nafkah dari karunia bug yang dapat Anda peroleh dengan mencoba meretas Google, Apple, - bahkan Pentagon, benar-benar memberikan karunia bug. Dan Anda baru saja meretas; jika berhasil, maka Anda hanya pergi dan mengklaim hadiah Anda, dan tidak ada kerusakan yang dilakukan, jadi itu hal yang baik, Anda tahu.
Saya mungkin juga menyebutkan kepatuhan dan regulasi. Selain inisiatif sektor, ada banyak peraturan resmi: HIPAA, SOX, FISMA, FERPA dan GLBA adalah semua undang-undang AS. Ada standar; PCI-DSS telah menjadi standar yang cukup umum. Dan kemudian ada ISO 17799 tentang kepemilikan data. Peraturan nasional berbeda di setiap negara, bahkan di Eropa. Dan saat ini GDPR - Data Global, apa artinya? Peraturan Perlindungan Data Global, saya pikir itu kependekan dari - tapi itu mulai berlaku tahun depan, katanya. Dan hal yang menarik tentang itu adalah bahwa itu berlaku di seluruh dunia. Jika Anda memiliki 5.000 pelanggan atau lebih, yang Anda dapatkan informasi pribadinya dan mereka tinggal di Eropa, maka Eropa akan benar-benar membawa Anda ke tugas, tidak peduli perusahaan Anda benar-benar berkantor pusat, atau di mana ia beroperasi. Dan hukumannya, hukuman maksimumnya adalah empat persen dari pendapatan tahunan, yang sangat besar, sehingga akan menjadi twist yang menarik di dunia, ketika itu mulai berlaku.
Hal-hal yang perlu dipikirkan, baik, kerentanan DBMS, sebagian besar data berharga sebenarnya duduk di database. Ini berharga karena kami telah meluangkan banyak waktu untuk membuatnya tersedia dan mengelolanya dengan baik dan itu membuatnya lebih rentan, jika Anda tidak benar-benar menerapkan sekuritas DBMS yang tepat. Jelas, jika Anda akan merencanakan hal-hal seperti ini, Anda perlu mengidentifikasi data yang rentan di seluruh organisasi, mengingat bahwa data dapat rentan karena berbagai alasan. Ini bisa berupa data pelanggan, tetapi bisa juga berupa dokumen internal yang akan berharga untuk keperluan spionase dan sebagainya. Kebijakan keamanan, khususnya yang berkaitan dengan keamanan akses - yang belakangan ini menurut saya sangat lemah, dalam hal-hal open source baru - enkripsi semakin banyak digunakan karena cukup solid.
Biaya pelanggaran keamanan, kebanyakan orang tidak tahu, tetapi jika Anda benar-benar melihat apa yang terjadi dengan organisasi yang mengalami pelanggaran keamanan, ternyata biaya pelanggaran keamanan seringkali jauh lebih tinggi daripada yang Anda pikirkan. Dan hal lain yang perlu dipikirkan adalah permukaan serangan, karena setiap perangkat lunak di mana saja, berjalan dengan organisasi Anda menghadirkan permukaan serangan. Begitu juga salah satu perangkat, begitu juga data, tidak peduli bagaimana disimpan. Itu semua, permukaan serangan tumbuh dengan internet hal, permukaan serangan mungkin akan berlipat ganda.
Jadi, akhirnya, DBA dan keamanan data. Keamanan data biasanya merupakan bagian dari peran DBA. Tapi ini juga kolaboratif. Dan itu harus tunduk pada kebijakan perusahaan, kalau tidak mungkin tidak akan dilaksanakan dengan baik. Karena itu, saya pikir saya bisa mengoper bola.
Eric Kavanagh: Baiklah, izinkan saya memberikan kunci untuk Vicky. Dan Anda dapat membagikan layar Anda atau pindah ke slide ini, terserah Anda, bawa saja.
Vicky Harp: Tidak, saya akan mulai dengan slide ini, terima kasih banyak. Jadi, ya, saya hanya ingin mengambil momen cepat dan memperkenalkan diri. Im Vicky Harp. Saya seorang manajer, manajemen produk untuk produk SQL di perangkat lunak IDERA, dan bagi Anda yang mungkin tidak akrab dengan kami, IDERA memiliki sejumlah lini produk, tetapi saya di sini berbicara untuk sisi SQL Server. Jadi, kami melakukan pemantauan kinerja, kepatuhan keamanan, cadangan, alat administrasi - dan semacamnya saja daftar mereka. Dan tentu saja, apa yang saya bicarakan di sini hari ini adalah keamanan dan kepatuhan.
Sebagian besar dari apa yang ingin saya bicarakan hari ini belum tentu merupakan produk kami, meskipun saya bermaksud menunjukkan beberapa contohnya nanti. Saya ingin berbicara lebih banyak tentang keamanan basis data, beberapa ancaman di dunia keamanan basis data saat ini, beberapa hal untuk dipikirkan, dan beberapa ide pengantar tentang apa yang perlu Anda perhatikan untuk mengamankan SQL Anda Database server dan juga untuk memastikan bahwa mereka sesuai dengan kerangka kerja peraturan yang Anda mungkin tunduk pada, seperti yang disebutkan. Ada banyak peraturan berbeda yang berlaku; mereka pergi pada industri yang berbeda, tempat yang berbeda di seluruh dunia, dan ini adalah hal-hal yang harus dipikirkan.
Jadi, saya agak ingin mengambil waktu sejenak dan berbicara tentang keadaan pelanggaran data - dan tidak mengulangi terlalu banyak dari apa yang telah dibahas di sini - saya sedang melihat studi penelitian keamanan Intel baru-baru ini, dan lintas mereka - saya pikir 1500 atau lebih organisasi yang mereka ajak bicara - mereka memiliki rata-rata enam pelanggaran keamanan, dalam hal pelanggaran kehilangan data, dan 68 persen dari mereka telah meminta pengungkapan dalam beberapa hal, sehingga mereka mempengaruhi harga saham, atau mereka harus melakukan kredit pemantauan untuk pelanggan atau karyawan mereka, dll.
Beberapa statistik lain yang menarik adalah bahwa aktor internal yang bertanggung jawab atas 43 persen dari mereka. Jadi, banyak orang berpikir banyak tentang peretas dan organisasi semu pemerintah semu atau kejahatan terorganisir, dll., Tetapi aktor internal masih secara langsung mengambil tindakan terhadap majikan mereka, dalam sebagian besar kasus. Dan ini terkadang lebih sulit untuk dilindungi, karena orang mungkin memiliki alasan yang sah untuk memiliki akses ke data itu. Sekitar setengah dari itu, 43 persen dalam beberapa hal adalah kehilangan karena kecelakaan. Jadi, misalnya, dalam kasus di mana seseorang membawa pulang data, dan kemudian kehilangan jejak data itu, yang membawa saya ke poin ketiga ini, yaitu hal-hal yang menyangkut media fisik masih melibatkan 40 persen dari pelanggaran. Jadi, itulah kunci USB, laptop rakyat, itulah media aktual yang dibakar ke cakram fisik dan dikeluarkan dari gedung.
Jika Anda pikirkan, apakah Anda memiliki pengembang yang memiliki salinan dev dari basis data produksi Anda di laptop mereka? Kemudian mereka pergi naik pesawat dan turun dari pesawat, dan mereka mengambil bagasi terdaftar dan laptop mereka dicuri. Anda sekarang memiliki pelanggaran data. Anda mungkin tidak selalu berpikir bahwa itu sebabnya laptop itu diambil, mungkin tidak pernah muncul di alam liar. Tapi itu masih sesuatu yang dianggap sebagai pelanggaran, itu akan membutuhkan pengungkapan, Anda akan memiliki semua efek hilir karena kehilangan data itu, hanya karena hilangnya media fisik itu.
Dan hal menarik lainnya adalah bahwa banyak orang berpikir tentang data kredit, dan informasi kartu kredit sebagai yang paling berharga, tetapi itu tidak benar-benar terjadi lagi. Data itu berharga, nomor kartu kredit berguna, tetapi jujur, angka-angka itu diubah dengan sangat cepat, sedangkan data pribadi orang tidak diubah dengan sangat cepat. Sesuatu yang menjadi berita baru, relatif baru, VTech, pembuat mainan memiliki mainan yang dirancang untuk anak-anak. Dan orang akan, mereka akan memiliki nama anak-anak mereka, mereka akan memiliki informasi tentang di mana anak-anak tinggal, mereka memiliki nama orang tua mereka, mereka memiliki foto-foto anak-anak. Tidak ada yang dienkripsi, karena itu tidak dianggap penting. Tapi kata sandi mereka dienkripsi. Nah, ketika pelanggaran itu tak terhindarkan terjadi, Anda berkata, “Oke, jadi saya punya daftar nama anak-anak, nama orang tua mereka, di mana mereka tinggal - semua informasi ini ada di luar sana, dan Anda berpikir bahwa kata sandi adalah bagian paling berharga itu? "Itu bukan; orang tidak dapat mengubah aspek-aspek tentang data pribadi mereka, alamat mereka, dll. Sehingga informasi itu sebenarnya sangat berharga dan perlu dilindungi.
Jadi, ingin berbicara tentang beberapa hal yang sedang terjadi, untuk berkontribusi pada cara terjadinya pelanggaran data saat ini. Salah satu hotspot besar, ruang sekarang adalah rekayasa sosial. Jadi orang menyebutnya phishing, ada peniruan, dll., Di mana orang mendapatkan akses ke data, seringkali melalui aktor internal, dengan hanya meyakinkan mereka bahwa mereka seharusnya memiliki akses ke sana. Jadi, beberapa hari yang lalu, kami memiliki worm Google Documents yang beredar. Dan apa yang akan terjadi - dan saya benar-benar menerima salinannya, walaupun untungnya saya tidak mengkliknya - Anda memperolehnya dari seorang kolega, dengan mengatakan, “Inilah tautan Google Doc; Anda perlu mengklik ini untuk melihat apa yang baru saja saya bagikan dengan Anda. ”Ya, di organisasi yang menggunakan Google Documents, itu sangat konvensional, Anda akan mendapatkan lusinan permintaan itu sehari. Jika Anda mengkliknya, itu akan meminta Anda izin untuk mengakses dokumen ini, dan mungkin Anda akan berkata, "Hei, itu terlihat sedikit aneh, tapi Anda tahu, itu terlihat sah juga, jadi saya akan pergi dan klik, ”Dan segera setelah Anda melakukannya, Anda memberi akses pihak ketiga ini ke semua dokumen Google Anda, dan karenanya, membuat tautan ini untuk aktor eksternal ini untuk memiliki akses ke semua dokumen Anda di Google Drive. Ini cacing di semua tempat. Itu melanda ratusan ribu orang dalam hitungan jam. Dan ini pada dasarnya adalah serangan phishing yang akhirnya ditutup sendiri oleh Google, karena dieksekusi dengan sangat baik. Orang-orang jatuh cinta padanya.
Saya menyebutkan di sini pelanggaran SDM SnapChat. Ini hanya masalah sederhana seseorang, berkedok sebagai bahwa mereka adalah CEO, ke departemen SDM, mengatakan, "Saya membutuhkan Anda untuk saya spreadsheet ini." Dan mereka mempercayainya, dan mereka meletakkan spreadsheet dengan 700 kompensasi karyawan berbeda informasi, alamat rumah mereka, dll., ed ke pihak lain ini, sebenarnya bukan CEO. Sekarang, data sudah keluar, dan semua karyawan mereka, informasi pribadi di luar sana dan tersedia untuk dieksploitasi. Jadi, rekayasa sosial adalah sesuatu yang saya sebutkan di dunia basis data, karena ini adalah sesuatu yang dapat Anda coba pertahankan melalui pendidikan, tetapi Anda juga harus ingat bahwa di mana pun Anda memiliki orang yang berinteraksi dengan teknologi Anda, dan Jika Anda mengandalkan penilaian baik mereka untuk mencegah pemadaman, Anda meminta banyak dari mereka.
Orang-orang membuat kesalahan, orang mengklik pada hal-hal yang seharusnya tidak mereka miliki, orang-orang jatuh cinta pada tipuan yang pintar. Dan Anda dapat berusaha sangat keras untuk melindungi mereka terhadapnya, tetapi itu tidak cukup kuat, Anda perlu mencoba membatasi kemampuan orang untuk secara tidak sengaja memberikan informasi ini dalam sistem basis data Anda. Hal lain yang ingin saya sebutkan yang jelas banyak dibicarakan adalah ransomware, botnet, virus - semua cara otomatis yang berbeda ini. Jadi apa yang saya pikir penting untuk dipahami tentang ransomware adalah benar-benar mengubah model laba untuk penyerang. Jika Anda berbicara tentang pelanggaran, mereka harus, dalam beberapa hal, mengekstrak data dan memilikinya untuk diri mereka sendiri dan memanfaatkannya. Dan jika data Anda tidak jelas, jika dienkripsi, jika spesifik industrinya, mungkin mereka tidak memiliki nilai untuk itu.
Sampai saat ini, orang mungkin merasa bahwa itu adalah perlindungan bagi mereka, “Saya tidak perlu melindungi diri dari pelanggaran data, karena jika mereka akan masuk ke sistem saya, semua yang akan mereka miliki adalah, Saya studio fotografi , Saya punya daftar siapa yang akan datang pada hari apa untuk tahun berikutnya. Siapa yang peduli tentang itu? ”Ternyata jawabannya adalah Anda peduli akan hal itu; Anda menyimpan informasi itu, itu informasi penting bisnis Anda. Jadi, menggunakan ransomware, seorang penyerang akan berkata, "Yah, tidak ada orang lain yang akan memberi saya uang untuk ini, tetapi Anda akan melakukannya." Jadi, mereka memanfaatkan fakta bahwa mereka bahkan tidak harus mengeluarkan data, mereka bahkan tidak perlu memiliki pelanggaran, mereka hanya perlu menggunakan alat keamanan yang menyinggung Anda. Mereka masuk ke database Anda, mereka mengenkripsi isinya, dan kemudian mereka berkata, “Oke, kami punya kata sandinya, dan Anda harus membayar kami $ 5.000 untuk mendapatkan kata sandi itu, atau Anda tidak punya data ini lagi. ”
Dan orang membayar; mereka merasa harus melakukan itu. MongoDB punya semacam masalah besar beberapa bulan yang lalu, saya kira itu pada bulan Januari, di mana ransomware melanda, saya pikir, lebih dari satu juta database MongoDB yang mereka miliki di depan umum ke internet, berdasarkan pada beberapa pengaturan default. Dan yang membuatnya lebih buruk adalah bahwa orang membayar dan organisasi lain akan datang dan mengenkripsi ulang atau mengklaim telah menjadi orang-orang yang awalnya mengenkripsi itu, jadi ketika Anda membayar uang Anda, dan saya pikir dalam kasus itu mereka meminta sesuatu seperti $ 500, orang-orang akan berkata, “Oke, saya akan membayar lebih dari itu untuk membayar seorang peneliti untuk masuk ke sini untuk membantu saya mencari tahu apa yang salah. Saya hanya akan membayar $ 500. "Dan mereka bahkan tidak membayarnya kepada aktor yang tepat, sehingga mereka akan ditumpuk dengan sepuluh organisasi yang berbeda mengatakan kepada mereka," Kami punya kata sandi, "atau" Kami punya cara bagi Anda untuk membuka kunci data tebusan Anda. . ”Dan Anda harus membayar semuanya untuk memungkinkannya bekerja.
Ada juga kasus di mana penulis ransomware memiliki bug, maksud saya, tidak berbicara tentang hal itu menjadi situasi yang sempurna, sehingga bahkan setelah diserang, bahkan setelah Anda dibayar, tidak ada jaminan bahwa Anda akan mendapatkan semua milik Anda data kembali, beberapa dari ini sedang rumit juga oleh alat InfoSec yang dipersenjatai. Jadi Shadow Brokers adalah grup yang telah membocorkan alat yang berasal dari NSA. Mereka adalah alat yang dirancang oleh entitas pemerintah untuk tujuan spionase dan benar-benar bekerja melawan entitas pemerintah lainnya. Beberapa di antaranya adalah serangan zero-day profil tinggi, yang pada dasarnya membuat protokol keamanan yang diketahui hanya gagal. Jadi ada kerentanan utama dalam protokol SMB misalnya, di salah satu dump Shadow Brokers baru-baru ini.
Dan alat-alat yang datang ke sini bisa, dalam beberapa jam, benar-benar mengubah permainan pada Anda, dalam hal permukaan serangan Anda. Jadi, setiap kali saya memikirkan hal ini, sesuatu yang pada level organisasi, keamanan InfoSec adalah fungsinya sendiri, perlu diperhatikan dengan serius. Setiap kali berbicara tentang database, saya bisa mencatatnya sedikit, Anda tidak harus memiliki sebagai administrator database pemahaman penuh tentang apa yang terjadi dengan Shadow Brokers minggu ini, tetapi Anda perlu menyadari bahwa semua ini bergeser , ada hal-hal yang terjadi, dan sejauh mana Anda menjaga domain Anda sendiri ketat dan aman, itu benar-benar akan membantu Anda dalam hal hal-hal semacam dicabut dari bawah Anda.
Jadi, saya ingin mengambil waktu sejenak di sini, sebelum pindah ke berbicara tentang SQL Server khusus, untuk benar-benar memiliki sedikit diskusi terbuka dengan panelis kami pada beberapa pertimbangan dengan keamanan basis data. Jadi, saya sampai pada titik ini, beberapa hal yang belum kami sebutkan, saya ingin berbicara tentang injeksi SQL sebagai vektor. Jadi, ini adalah injeksi SQL, yang jelas merupakan cara orang memasukkan perintah ke dalam sistem basis data, dengan jenis input yang salah.
Eric Kavanagh: Ya, saya benar-benar bertemu dengan seorang pria - saya pikir itu di pangkalan Andrews Air Force - sekitar lima tahun yang lalu, seorang konsultan yang saya bicarakan dengannya di lorong dan kami hanya berbagi cerita perang - tidak ada permainan kata-kata - dan dia menyebutkan bahwa dia telah dibawa oleh seseorang untuk berkonsultasi dengan anggota militer yang cukup tinggi dan lelaki itu bertanya kepadanya, “Nah, bagaimana kami tahu kamu baik pada apa yang kamu lakukan?” dan ini dan itu. Dan ketika dia berbicara dengan mereka yang dia gunakan di komputernya, dia masuk ke jaringan, dia menggunakan injeksi SQL untuk masuk ke registri untuk basis itu dan untuk orang-orang itu. Dan dia menemukan orang-orang yang dia ajak bicara dan dia hanya menunjukkan padanya di mesinnya! Dan lelaki itu seperti, "Bagaimana Anda melakukan itu?" Dia berkata, "Yah, saya menggunakan injeksi SQL."
Jadi, itu baru lima tahun yang lalu, dan itu di pangkalan Angkatan Udara, kan? Jadi, maksud saya, dalam hal con, hal ini masih sangat nyata dan dapat digunakan dengan efek yang sangat mengerikan. Maksudku, aku ingin tahu tentang kisah perang apa pun yang dimiliki Robin tentang topik itu, tetapi semua teknik ini masih berlaku. Mereka masih digunakan dalam banyak kasus, dan ini adalah pertanyaan untuk mendidik diri sendiri, bukan?
Robin Bloor: Baiklah. Ya, mungkin untuk bertahan melawan injeksi SQL dengan melakukan pekerjaan. Sangat mudah untuk memahami mengapa ketika ide itu ditemukan dan pertama kali berkembang biak, sangat mudah untuk memahami mengapa ide itu sangat sukses, karena Anda bisa menempelkannya di bidang input pada halaman web dan mendapatkannya untuk mengembalikan data untuk Anda, atau mendapatkan untuk menghapus data dalam database, atau apa pun - Anda bisa menyuntikkan kode SQL untuk melakukannya. Tetapi hal yang menarik bagi saya, adalah bahwa Anda tahu, Anda harus melakukan sedikit penguraian, dari setiap bagian data yang dimasukkan, tetapi sangat mungkin untuk mengetahui bahwa seseorang berusaha melakukan itu. Dan itu benar-benar, saya pikir itu benar-benar, karena orang masih lolos begitu saja, maksud saya ini benar-benar aneh bahwa tidak ada cara mudah untuk memerangi itu. Anda tahu, bahwa setiap orang dapat dengan mudah menggunakan, maksud saya, sejauh yang saya tahu, belum ada, Vicky, bukan?
Vicky Harp: Sebenarnya, beberapa solusi sandera, seperti SQL Azure, saya pikir memiliki beberapa metode pendeteksian yang cukup bagus yang didasarkan pada pembelajaran mesin. Mungkin itu yang akan dilihat di masa depan, adalah sesuatu yang berusaha muncul dengan satu ukuran cocok untuk semua. Saya pikir jawabannya adalah tidak ada satu ukuran yang cocok untuk semua, tetapi kami memiliki mesin yang dapat mempelajari ukuran Anda dan memastikan bahwa Anda cocok untuk itu, kan? Dan sehingga jika Anda memiliki false positive, itu karena Anda benar-benar melakukan sesuatu yang tidak biasa, itu bukan karena Anda harus melalui dan dengan susah payah mengidentifikasi segala sesuatu yang aplikasi Anda mungkin pernah lakukan.
Saya pikir salah satu alasan mengapa ini masih sangat produktif adalah karena orang-orang masih mengandalkan aplikasi pihak ketiga, dan aplikasi dari ISVs dan mereka yang dioleskan dari waktu ke waktu.Jadi, Anda berbicara tentang sebuah organisasi yang telah membeli aplikasi teknik yang ditulis pada tahun 2001. Dan mereka belum memperbaruinya, karena belum ada perubahan fungsional besar sejak itu, dan penulis asli itu semacam, mereka bukan insinyur , mereka bukan ahli keamanan basis data, mereka tidak melakukan hal-hal dengan cara yang benar dalam aplikasi dan mereka akhirnya menjadi vektor. Pemahaman saya adalah bahwa - saya pikir itu adalah pelanggaran data Target, yang sangat besar - vektor serangan telah melalui salah satu pemasok AC mereka, kan? Jadi, masalah dengan pihak ketiga itu, Anda bisa, jika Anda memiliki toko pengembangan sendiri, Anda mungkin dapat memiliki beberapa aturan ini, melakukannya secara umum kapan saja. Sebagai sebuah organisasi Anda dapat menjalankan ratusan atau bahkan ribuan aplikasi, dengan semua profil yang berbeda. Saya pikir di situlah pembelajaran mesin akan datang dan mulai banyak membantu kami.
Kisah perang saya adalah kehidupan pendidikan. Saya harus melihat serangan injeksi SQL, dan sesuatu yang tidak pernah terpikir oleh saya adalah penggunaan SQL yang mudah dibaca. Saya melakukan hal-hal ini disebut kartu liburan P SQL yang dikaburkan; Saya suka melakukannya, Anda membuat SQL ini terlihat membingungkan mungkin. Ada kontes kode C ++ yang dikaburkan yang telah berlangsung selama beberapa dekade sekarang, dan jenisnya dari ide yang sama. Jadi, apa yang sebenarnya Anda dapatkan adalah injeksi SQL yang berada di bidang string terbuka, menutup string, memasukkan koma, dan kemudian memasukkan perintah exec yang kemudian memiliki serangkaian angka dan kemudian pada dasarnya menggunakan perintah casting untuk melemparkan angka-angka itu ke dalam biner dan kemudian melemparkannya, pada gilirannya, ke dalam nilai karakter dan kemudian menjalankannya. Jadi, ini tidak seperti Anda melihat sesuatu yang mengatakan, "Hapus startup dari tabel produksi," itu benar-benar dimasukkan ke dalam bidang numerik yang membuatnya lebih sulit untuk dilihat. Dan bahkan setelah Anda melihatnya, untuk mengidentifikasi apa yang terjadi, butuh beberapa suntikan SQL nyata, untuk dapat mengetahui apa yang terjadi, pada saat itu tentu saja pekerjaan sudah dilakukan.
Robin Bloor: Dan salah satu hal yang hanya merupakan fenomena di seluruh dunia peretasan adalah bahwa jika seseorang menemukan kelemahan dan kebetulan ada dalam perangkat lunak yang secara umum dijual, Anda tahu, salah satu masalah awal adalah kata sandi basis data bahwa Anda diberi ketika database diinstal, banyak database sebenarnya adalah default. Dan banyak DBA tidak pernah mengubahnya, dan karena itu Anda bisa masuk ke jaringan itu; Anda bisa saja mencoba kata sandi itu dan jika itu berhasil, Anda baru saja memenangkan lotre. Dan hal yang menarik adalah bahwa semua informasi itu sangat efisien dan efektif beredar di antara komunitas peretasan di situs web darknet. Dan mereka tahu. Jadi, mereka bisa melakukan apa saja di luar sana, menemukan beberapa contoh dan secara otomatis melemparkan beberapa eksploitasi peretasan padanya, dan mereka masuk. Dan itulah, saya pikir, bahwa banyak orang yang setidaknya berada di pinggiran. dari semua ini, jangan benar-benar mengerti seberapa cepat jaringan peretasan merespon kerentanan.
Vicky Harp: Ya, itu benar-benar memunculkan hal lain yang ingin saya sebutkan sebelum saya melanjutkan, yaitu gagasan tentang penguraian identitas, yang merupakan sesuatu yang telah banyak bermunculan, yaitu bahwa setelah kredensial Anda dicuri untuk seseorang di mana saja, di mana saja situs, kredensial tersebut akan dicoba untuk digunakan kembali di seluruh papan. Jadi, jika Anda menggunakan kata sandi duplikat, katakanlah, jika pengguna Anda, bahkan, mari kita bicara seperti itu, seseorang mungkin bisa mendapatkan akses melalui apa yang tampaknya merupakan set kredensial yang sepenuhnya valid. Jadi, katakanlah saya telah menggunakan kata sandi saya yang sama di Amazon dan di bank saya, dan juga di forum dan bahwa perangkat lunak forum diretas, well, mereka memiliki nama pengguna dan kata sandi saya. Dan mereka kemudian dapat menggunakan nama pengguna yang sama di Amazon, atau mereka menggunakannya di bank. Dan sejauh menyangkut bank, itu adalah login yang benar-benar valid. Sekarang, Anda dapat mengambil tindakan jahat melalui akses yang sepenuhnya diotorisasi.
Jadi, jenis itu kembali ke apa yang saya katakan tentang pelanggaran internal dan penggunaan internal. Jika Anda memiliki orang-orang di organisasi Anda yang menggunakan kata sandi yang sama untuk akses internal yang mereka lakukan untuk akses eksternal, Anda punya kemungkinan bahwa seseorang akan datang dan menyamar sebagai Anda melalui pelanggaran di beberapa situs lain yang bahkan tidak Anda ketahui. Dan data ini disebarluaskan dengan sangat cepat. Ada daftar, saya pikir bahwa beban terbaru untuk "telah saya pwned" oleh Troy Hunt, dia mengatakan dia memiliki setengah miliar set kredensial, yaitu - jika Anda mempertimbangkan jumlah orang di planet ini - itu adalah sejumlah besar kredensial yang telah tersedia untuk isian kredensial.
Jadi, saya akan melangkah sedikit lebih dalam dan berbicara tentang keamanan SQL Server. Sekarang saya ingin mengatakan bahwa saya tidak akan mencoba memberi Anda semua yang perlu Anda ketahui untuk mengamankan SQL Server Anda dalam 20 menit ke depan; yang tampaknya agak sulit. Jadi, untuk memulai, saya ingin mengatakan bahwa ada grup online dan sumber daya online yang pasti Anda dapat Google, ada buku, ada dokumen praktik terbaik di Microsoft, ada bab virtual keamanan untuk rekan profesional di SQL Server, Mereka ada di security.pass.org dan mereka memiliki, saya percaya, webcast bulanan dan rekaman webcast untuk memeriksa secara nyata, mendalam bagaimana melakukan keamanan SQL Server. Tapi ini adalah beberapa hal yang saya, berbicara kepada Anda sebagai profesional data, sebagai profesional TI, sebagai DBA, saya ingin Anda tahu bahwa Anda perlu tahu tentang keamanan SQL Server.
Jadi yang pertama adalah keamanan fisik. Jadi, seperti yang saya katakan sebelumnya, mencuri media fisik masih sangat umum. Jadi skenario yang saya berikan dengan mesin dev, dengan salinan database Anda di mesin dev yang dicuri - itu vektor yang sangat umum, itu vektor yang perlu Anda waspadai dan coba ambil tindakan terhadapnya. Ini juga berlaku untuk keamanan cadangan, jadi setiap kali Anda mencadangkan data, Anda harus mencadangkannya dienkripsi, Anda harus mencadangkan ke lokasi yang aman. Sering kali data ini yang benar-benar dilindungi dalam database, segera setelah mulai keluar ke lokasi pinggiran, ke mesin dev, ke mesin uji, kami menjadi sedikit kurang berhati-hati tentang penambalan, kami mendapat sedikit lebih sedikit hati-hati dengan orang yang memiliki akses ke sana. Hal berikutnya yang Anda tahu, Anda punya cadangan basis data yang tidak terenkripsi yang disimpan pada bagian publik di organisasi Anda yang tersedia untuk dieksploitasi dari banyak orang yang berbeda. Jadi, pikirkan tentang keamanan fisik dan sesederhana itu, dapatkah seseorang berjalan dan memasukkan kunci USB ke server Anda? Anda seharusnya tidak membiarkan itu terjadi.
Item berikutnya yang saya ingin Anda pikirkan adalah keamanan platform, jadi OS terbaru, patch terbaru. Sangat melelahkan untuk mendengar orang-orang berbicara tentang tetap menggunakan Windows versi lama, versi SQL Server yang lebih lama, berpikir bahwa satu-satunya biaya yang dimainkan adalah biaya peningkatan lisensi, yang tidak demikian. Kami dengan keamanan, ini adalah aliran yang terus menuruni bukit dan seiring berjalannya waktu, lebih banyak eksploitasi ditemukan. Microsoft dalam kasus ini, dan kelompok lain sesuai dengan masalahnya, mereka akan memperbarui sistem yang lebih tua ke suatu titik, dan akhirnya mereka akan kehilangan dukungan dan mereka tidak akan memperbaruinya lagi, karena itu hanyalah proses pemeliharaan yang tidak pernah berakhir.
Jadi, Anda harus menggunakan OS yang didukung dan Anda harus mendapatkan informasi terbaru tentang tambalan Anda, dan baru-baru ini kami temukan dengan Shadow Brokers, dalam beberapa kasus Microsoft mungkin memiliki wawasan tentang pelanggaran keamanan besar yang akan datang, sebelum dibuat. publik, sebelum pengungkapan, jadi jangan biarkan diri Anda terpelintir. Id lebih suka tidak mengambil downtime, Id lebih suka menunggu dan membaca masing-masing dan memutuskan. Anda mungkin tidak tahu berapa nilainya sampai beberapa minggu kemudian setelah Anda mengetahui mengapa tambalan ini terjadi. Jadi, tetap di atas itu.
Anda harus mengonfigurasi firewall Anda. Sangat mengejutkan dalam pelanggaran SNB berapa banyak orang yang menjalankan versi SQL Server yang lebih lama dengan firewall yang sepenuhnya terbuka untuk internet, sehingga siapa pun dapat masuk dan melakukan apa pun yang mereka inginkan dengan server mereka. Anda harus menggunakan firewall. Fakta bahwa Anda sesekali harus mengonfigurasi aturan atau membuat pengecualian khusus untuk cara Anda menjalankan bisnis adalah harga yang pantas untuk dibayar. Anda perlu mengontrol area permukaan dalam sistem basis data Anda - apakah Anda ikut menginstal layanan atau server web seperti IIS pada mesin yang sama? Berbagi ruang disk yang sama, berbagi ruang memori yang sama dengan database Anda dan data pribadi Anda? Cobalah untuk tidak melakukannya, cobalah untuk mengisolasinya, pertahankan luas permukaan yang lebih kecil, sehingga Anda tidak perlu terlalu khawatir memastikan semua aman di atas database. Anda dapat secara fisik memisahkan mereka, platform, memisahkan mereka, memberikan diri Anda sedikit ruang bernapas.
Anda seharusnya tidak memiliki super admin yang berkeliaran di mana-mana dapat memiliki akses ke semua data Anda. Akun admin OS mungkin tidak perlu memiliki akses ke database Anda, atau ke data yang mendasari dalam database melalui enkripsi, yang dapat dibicarakan dalam satu menit. Dan akses ke file database, Anda perlu membatasi itu juga. Agak konyol jika Anda mengatakan, yah, seseorang tidak bisa mengakses database ini melalui database; SQL Server itu sendiri tidak akan mengizinkan mereka untuk mengaksesnya, tetapi jika kemudian mereka dapat berkeliling, mengambil salinan file MDF yang sebenarnya, memindahkannya begitu saja, melampirkannya ke SQL Server mereka sendiri, Anda belum benar-benar mencapai banyak hal.
Enkripsi, begitu enkripsi adalah pedang dua arah yang terkenal itu. Ada banyak level enkripsi berbeda yang dapat Anda lakukan di level OS dan cara kontemporer dalam melakukan sesuatu untuk SQL dan Windows adalah dengan BitLocker dan pada level database disebut TDE atau enkripsi data transparan. Jadi, ini adalah kedua cara untuk menjaga data Anda tetap terenkripsi. Jika Anda ingin agar data Anda terenkripsi lebih komprehensif, Anda dapat melakukan enkripsi - maaf, saya sudah melangkah maju. Anda dapat melakukan koneksi terenkripsi sehingga setiap kali dalam perjalanan, masih terenkripsi sehingga jika seseorang mendengarkan, atau memiliki seorang pria di tengah serangan, Anda punya perlindungan data itu melalui kabel. Cadangan Anda harus dienkripsi, seperti saya katakan, mereka mungkin dapat diakses oleh orang lain dan kemudian, jika Anda ingin dienkripsi dalam memori dan selama digunakan, kami mendapat enkripsi kolom dan kemudian, SQL 2016 memiliki gagasan "selalu dienkripsi" di mana itu sebenarnya dienkripsi pada disk, dalam memori, pada kabel, semua jalan ke aplikasi yang sebenarnya memanfaatkan data.
Sekarang, semua enkripsi ini tidak gratis: Ada overhead CPU, ada kadang-kadang untuk enkripsi kolom dan kasus selalu dienkripsi, ada implikasi pada kinerja dalam hal kemampuan Anda untuk melakukan mencari data itu. Namun, enkripsi ini, jika disatukan dengan benar, maka itu berarti bahwa jika seseorang mendapatkan akses ke data Anda, kerusakannya sangat berkurang, karena mereka bisa mendapatkannya dan kemudian mereka tidak dapat melakukan apa-apa dengannya. Namun, ini juga merupakan cara di mana ransomware bekerja, adalah seseorang masuk dan menyalakan barang-barang ini, dengan sertifikat mereka sendiri atau kata sandi mereka sendiri dan Anda tidak memiliki akses ke sana. Jadi, itulah mengapa penting untuk memastikan bahwa Anda melakukan ini, dan Anda memiliki akses ke sana, tetapi Anda tidak memberikannya, terbuka bagi orang lain dan penyerang untuk melakukannya.
Dan kemudian, prinsip keamanan - Saya tidak akan mengulangi hal ini, tetapi pastikan bahwa Anda tidak memiliki setiap pengguna yang berjalan di SQL Server sebagai admin super. Pengembang Anda mungkin menginginkannya, pengguna yang berbeda mungkin menginginkannya - mereka frustrasi karena harus meminta akses untuk setiap item - tetapi Anda harus rajin tentang hal itu, dan meskipun mungkin lebih rumit, berikan akses ke objek dan database dan skema yang berlaku untuk pekerjaan yang sedang berlangsung, dan ada kasus khusus, mungkin itu berarti login khusus, itu tidak berarti peningkatan hak, untuk pengguna kasus rata-rata.
Dan kemudian, ada pertimbangan kepatuhan peraturan yang cocok dengan ini dan beberapa kasus mungkin benar-benar pergi dengan cara mereka sendiri - jadi ada HIPAA, SOX, PCI - ada semua pertimbangan yang berbeda ini. Dan ketika Anda menjalani audit, Anda diharapkan untuk menunjukkan bahwa Anda mengambil tindakan untuk tetap mematuhi ini. Jadi, ini banyak yang harus dilacak, saya akan katakan sebagai daftar tugas yang harus dilakukan DBA, Anda berusaha memastikan keamanan konfigurasi enkripsi fisik, Anda berusaha memastikan bahwa akses ke data itu sedang diaudit untuk tujuan kepatuhan Anda , memastikan bahwa kolom sensitif Anda, bahwa Anda tahu apa itu, di mana mereka, yang mana Anda harus mengenkripsi dan menonton akses. Dan memastikan bahwa konfigurasi sesuai dengan pedoman peraturan yang Anda ikuti. Dan Anda harus terus memperbarui semua ini karena banyak hal berubah.
Jadi, banyak yang harus dilakukan, dan jadi jika saya meninggalkannya di sana, saya akan mengatakan pergi lakukan itu. Tetapi ada banyak alat yang berbeda untuk itu, jadi jika saya dapat dalam beberapa menit terakhir, saya ingin menunjukkan kepada Anda beberapa alat yang kami miliki di IDERA untuk itu. Dan dua yang ingin saya bicarakan hari ini adalah SQL Secure dan SQL Compliance Manager. SQL Secure adalah alat kami untuk membantu mengidentifikasi jenis kerentanan konfigurasi. Kebijakan keamanan Anda, izin pengguna Anda, konfigurasi area permukaan Anda. Dan itu memiliki template untuk membantu Anda mematuhi kerangka kerja peraturan yang berbeda. Dengan sendirinya, baris terakhir itu, mungkin menjadi alasan bagi orang untuk mempertimbangkannya. Karena membaca peraturan yang berbeda ini dan mengidentifikasi apa artinya, PCI dan kemudian membawanya ke SQL Server saya di toko saya, itu banyak pekerjaan. Itulah sesuatu yang dapat Anda bayar banyak untuk konsultasi; kami telah pergi dan melakukan konsultasi itu, kami telah bekerja dengan perusahaan audit yang berbeda, dll., untuk menghasilkan apa template itu - sesuatu yang mungkin lulus audit jika ini ada. Dan kemudian Anda bisa menggunakan template itu dan melihatnya di lingkungan Anda.
Kami juga memiliki sejenis alat sejenis dalam bentuk SQL Compliance Manager, dan di sinilah SQL Secure membahas tentang pengaturan konfigurasi. SQL Compliance Manager adalah tentang melihat apa yang dilakukan oleh siapa, kapan. Jadi, diaudit, sehingga memungkinkan Anda untuk memantau aktivitas yang terjadi dan memungkinkan Anda mendeteksi dan melacak siapa yang mengakses sesuatu. Apakah seseorang, contoh prototipikal dari seorang selebriti yang diperiksa di rumah sakit Anda, apakah seseorang pergi dan mencari informasi mereka, hanya karena penasaran? Apakah mereka punya alasan untuk melakukannya? Anda dapat melihat sejarah audit dan melihat apa yang sedang terjadi, siapa yang mengakses catatan tersebut. Dan Anda dapat mengidentifikasi ini memiliki alat untuk membantu Anda mengidentifikasi kolom sensitif, jadi Anda tidak perlu membaca dan melakukannya sendiri.
Jadi, kalau boleh, saya akan menunjukkan beberapa alat itu di sini dalam beberapa menit terakhir ini - dan tolong jangan menganggapnya sebagai demo mendalam. Saya seorang manajer produk, bukan insinyur penjualan, jadi saya akan menunjukkan kepada Anda beberapa hal yang saya pikir relevan dengan diskusi ini. Jadi, ini adalah produk SQL Secure kami. Dan seperti yang Anda lihat di sini, saya punya semacam kartu laporan tingkat tinggi ini. Saya menjalankan ini, saya pikir, kemarin. Dan itu menunjukkan kepada saya beberapa hal yang tidak diatur dengan benar dan beberapa hal yang diatur dengan benar. Jadi, Anda dapat melihat ada lebih dari 100 pemeriksaan berbeda yang telah kami lakukan di sini. Dan saya dapat melihat bahwa enkripsi cadangan saya pada cadangan yang telah saya lakukan, saya belum menggunakan enkripsi cadangan. Akun SA saya, secara eksplisit bernama "Akun SA" tidak dinonaktifkan atau diganti namanya. Peran server publik memiliki izin, jadi ini semua hal yang mungkin ingin saya lihat saat berubah.
Saya sudah membuat kebijakan yang diatur di sini, jadi jika saya ingin membuat kebijakan baru, untuk diterapkan ke server saya, kami sudah mendapatkan semua kebijakan bawaan ini. Jadi, saya akan menggunakan templat kebijakan yang ada dan Anda dapat melihat saya memiliki CIS, HIPAA, PCI, SR dan sedang berlangsung, dan kami sebenarnya sedang dalam proses menambahkan kebijakan tambahan secara terus-menerus, berdasarkan pada hal-hal yang dibutuhkan orang di lapangan. Dan Anda juga dapat membuat kebijakan baru, jadi jika Anda tahu apa yang dicari auditor Anda, Anda bisa membuatnya sendiri. Dan kemudian, ketika Anda melakukannya, Anda dapat memilih di antara semua pengaturan yang berbeda ini, yang Anda perlu atur, dalam beberapa kasus, Anda memiliki beberapa— biarkan saya kembali dan menemukan salah satu pengaturan yang sudah dibuat sebelumnya. Ini nyaman, saya dapat memilih, katakanlah, HIPAA - Saya sudah mendapatkan HIPAA, buruk saya - PCI, dan kemudian, ketika saya mengklik di sini, saya benar-benar dapat melihat referensi silang eksternal ke bagian peraturan bahwa ini adalah berhubungan dengan. Jadi itu akan membantu Anda nanti, ketika Anda mencoba mencari tahu mengapa saya mengatur ini? Mengapa saya mencoba melihat ini? Bagian apa ini terkait?
Ini juga memiliki alat yang bagus yang memungkinkan Anda masuk dan menelusuri pengguna Anda, jadi salah satu hal rumit tentang menjelajahi peran pengguna Anda, adalah bahwa, sebenarnya, saya akan memeriksanya di sini. Jadi, jika saya menunjukkan izin untuk saya, mari kita lihat, mari kita pilih pengguna di sini. Tampilkan izin. Saya dapat melihat izin yang diberikan untuk server ini, tetapi kemudian saya dapat mengklik di sini dan menghitung izin yang efektif, dan itu akan memberi saya daftar lengkap berdasarkan, jadi dalam hal ini adalah admin, jadi itu tidak menarik, tapi saya bisa telusuri dan pilih pengguna yang berbeda dan lihat apa perizinan efektif mereka, berdasarkan semua kelompok berbeda di mana mereka mungkin berada. Jika Anda pernah mencoba melakukan ini sendiri, sebenarnya bisa sedikit merepotkan, untuk mencari tahu, OK pengguna ini adalah anggota dari grup ini dan karena itu memiliki akses ke hal-hal ini melalui grup, dll.
Jadi, cara produk ini bekerja, adalah mengambil snapshot, jadi ini benar-benar bukan proses yang sangat sulit untuk mengambil snapshot server secara teratur dan kemudian menyimpan snapshot tersebut dari waktu ke waktu sehingga Anda dapat membandingkan untuk perubahan. Jadi, ini bukan pemantauan berkelanjutan dalam arti tradisional seperti alat pemantauan kinerja; ini adalah sesuatu yang mungkin telah Anda atur untuk dijalankan sekali per malam, sekali per minggu - namun sering Anda anggap valid - sehingga kemudian, setiap kali Anda melakukan analisis dan Anda melakukan sedikit lebih banyak, Anda sebenarnya hanya bekerja di dalam alat kami. Anda tidak terlalu sering terhubung kembali ke server Anda, jadi ini adalah alat kecil yang cukup bagus untuk bekerja, untuk menyesuaikan dengan pengaturan statis semacam itu.
Alat lain yang ingin saya tunjukkan adalah alat Manajer Kepatuhan kami. Manajer Kepatuhan akan memantau dengan cara yang lebih berkelanjutan. Dan itu akan melihat siapa yang melakukan apa di server Anda dan memungkinkan Anda untuk melihatnya. Jadi, apa yang saya lakukan di sini, dalam beberapa jam terakhir ini, saya sebenarnya mencoba membuat beberapa masalah kecil. Jadi, di sini saya punya masalah atau tidak, saya mungkin tahu tentang itu, seseorang telah benar-benar membuat login dan menambahkannya ke peran server. Jadi, jika saya masuk dan melihat itu, saya bisa melihat - saya kira saya tidak bisa klik kanan di sana, saya bisa melihat apa yang terjadi.Jadi, ini adalah dasbor saya dan saya dapat melihat saya memiliki sejumlah login yang gagal sedikit lebih awal hari ini. Saya memiliki banyak aktivitas keamanan, aktivitas DBL.
Jadi, izinkan saya pergi ke acara audit saya dan melihatnya. Di sini saya membuat acara audit saya dikelompokkan berdasarkan kategori dan objek target, jadi jika saya melihat keamanan itu dari sebelumnya, saya dapat melihat DemoNewUser, ini membuat login server terjadi. Dan saya dapat melihat bahwa login SA membuat akun DemoNewUser ini, di sini, jam 2:42 malam. Dan kemudian, saya dapat melihat bahwa pada gilirannya, tambahkan login ke server, DemoNewUser ini ditambahkan ke grup admin server, mereka ditambahkan ke grup admin pengaturan, mereka ditambahkan ke grup sysadmin. Jadi, itulah sesuatu yang ingin saya ketahui telah terjadi. Saya juga sudah mengaturnya sehingga kolom sensitif di tabel saya dilacak, jadi saya bisa melihat siapa yang telah mengaksesnya.
Jadi, di sini saya punya beberapa orang terpilih yang muncul di meja pribadi saya, dari Adventure Works. Dan saya dapat melihat dan melihat bahwa pengguna SA pada tabel Adventure Works melakukan sepuluh bintang pilihan dari orang dot person. Jadi mungkin di organisasi saya, saya tidak ingin orang memilih bintang dari orang dot orang, atau saya hanya mengharapkan pengguna tertentu untuk melakukannya, dan saya akan melihat ini di sini. Jadi ,— apa yang Anda butuhkan dalam hal audit Anda, kami dapat mengaturnya berdasarkan kerangka kerja dan ini sedikit lebih merupakan alat intensif. Itu menggunakan SQL Trace, atau peristiwa SQLX, tergantung pada versinya. Dan itu adalah sesuatu yang harus Anda miliki dengan ruang kepala di server Anda untuk mengakomodasi, tetapi salah satu dari itu, jenis seperti asuransi, yang bagus jika kita tidak harus memiliki asuransi mobil - itu akan menjadi biaya yang tidak akan kita dapatkan harus mengambil - tetapi jika Anda memiliki server di mana Anda perlu melacak siapa melakukan apa, Anda mungkin harus memiliki sedikit ruang kepala tambahan dan alat seperti ini untuk melakukan ini. Apakah Anda menggunakan alat kami atau menggulirkannya sendiri, pada akhirnya Anda akan bertanggung jawab untuk memiliki informasi ini untuk tujuan kepatuhan peraturan.
Jadi seperti yang saya katakan, bukan demo mendalam, hanya ringkasan singkat yang singkat. Saya juga ingin menunjukkan kepada Anda alat cepat dan sedikit gratis dalam bentuk Pencarian Kolom SQL ini, yang merupakan sesuatu yang dapat Anda gunakan untuk mengidentifikasi kolom apa di lingkungan Anda yang tampaknya merupakan informasi sensitif. Jadi, kami memiliki sejumlah konfigurasi pencarian yang mencari berbagai nama kolom yang umumnya berisi data sensitif, dan kemudian saya mendapatkan seluruh daftar ini yang telah diidentifikasi. Saya sudah mendapatkan 120 dari mereka, dan kemudian saya mengekspornya di sini, sehingga saya dapat menggunakan mereka untuk mengatakan, mari kita melihat dan memastikan bahwa saya melacak akses ke nama tengah, satu orang titik orang atau tarif pajak penjualan, dll.
Saya tahu benar pada akhir waktu kami di sini. Dan hanya itu yang harus saya tunjukkan kepada Anda, jadi ada pertanyaan untuk saya?
Eric Kavanagh: Saya punya beberapa yang bagus untuk Anda. Biarkan saya gulirkan ini di sini. Salah satu peserta mengajukan pertanyaan yang sangat bagus. Salah satunya bertanya tentang pajak kinerja, jadi saya tahu ini bervariasi dari solusi ke solusi, tetapi apakah Anda memiliki gagasan umum tentang apa pajak kinerja untuk menggunakan alat keamanan IDERA?
Vicky Harp: Jadi, pada SQL Secure, seperti yang saya katakan, sangat rendah, hanya akan mengambil beberapa snapshot sesekali. Dan bahkan jika Anda telah menjalankan cukup sering, ini mendapatkan informasi statis tentang pengaturan, dan itu sangat rendah, hampir dapat diabaikan. Dalam hal Manajer Kepatuhan, itu adalah—
Eric Kavanagh: Seperti satu persen?
Vicky Harp: Jika saya harus memberikan angka persen, ya, itu akan menjadi satu persen atau lebih rendah. Ini informasi dasar tentang urutan penggunaan SSMS dan masuk ke tab keamanan dan memperluas hal-hal. Di sisi Kepatuhan, ini jauh lebih tinggi - itulah sebabnya saya mengatakan perlu sedikit ruang kepala - jenisnya jauh melebihi apa yang Anda miliki dalam hal pemantauan kinerja. Sekarang, saya tidak ingin menakut-nakuti orang lain darinya, trik dengan pemantauan Kepatuhan, dan jika auditnya adalah untuk memastikan Anda hanya mengaudit apa yang akan Anda ambil tindakan. Jadi, begitu Anda menyaring untuk mengatakan, "Hei, saya ingin tahu kapan orang mengakses tabel khusus ini, dan saya ingin tahu kapan orang mengakses, ambil tindakan khusus ini," maka itu akan didasarkan pada seberapa sering hal-hal ini terjadi dan berapa banyak data yang Anda hasilkan. Jika Anda berkata, "Saya ingin SQL penuh dari setiap pilih yang pernah terjadi di salah satu tabel ini," itu mungkin saja gigabyte dan gigabytes data yang harus diuraikan oleh SQL Server yang disimpan, dipindahkan ke produk kami, dll. .
Jika Anda menyimpannya di— itu juga akan menjadi lebih banyak informasi daripada yang mungkin bisa Anda tangani. Jika Anda bisa membawanya ke set yang lebih kecil, sehingga Anda mendapatkan beberapa ratus acara per hari, maka itu jelas jauh lebih rendah. Jadi, sungguh, dalam beberapa hal, langit adalah batasnya. Jika Anda mengaktifkan semua pengaturan pada semua pemantauan untuk semuanya, maka ya, itu akan menjadi hit kinerja 50 persen. Tetapi jika Anda akan mengubahnya menjadi lebih moderat, dianggap level, saya mungkin akan melihat 10 persen? Ini benar-benar, itu salah satu hal yang akan sangat tergantung pada beban kerja Anda.
Eric Kavanagh: Ya benar. Ada pertanyaan lain tentang perangkat keras. Dan kemudian, ada vendor perangkat keras yang memasuki permainan dan benar-benar berkolaborasi dengan vendor perangkat lunak dan saya menjawab melalui jendela T&J. Saya tahu satu kasus tertentu, tentang Cloudera yang bekerja dengan Intel di mana Intel melakukan investasi besar di dalamnya, dan bagian dari kalkulus adalah bahwa Cloudera akan mendapatkan akses awal ke desain chip, dan dengan demikian dapat memanggang keamanan ke tingkat chip dari arsitektur, yang cukup mengesankan. Namun demikian, itu sesuatu yang akan keluar di sana, dan masih dapat dieksploitasi oleh kedua belah pihak. Apakah Anda tahu ada tren atau kecenderungan vendor perangkat keras untuk berkolaborasi dengan vendor perangkat lunak pada protokol keamanan?
Vicky Harp: Ya, sebenarnya, saya percaya bahwa Microsoft telah berkolaborasi untuk memiliki beberapa, seperti, ruang memori untuk beberapa pekerjaan enkripsi yang sebenarnya terjadi pada chip terpisah pada motherboard yang terpisah dari memori utama Anda, sehingga beberapa hal secara fisik terpisah. Dan saya percaya bahwa sebenarnya itu adalah sesuatu yang datang dari Microsoft dalam hal pergi ke vendor untuk mengatakan, "Bisakah kita menemukan cara untuk membuat ini, pada dasarnya ingatan yang tidak bisa diperbaiki, saya tidak bisa melalui buffer overflow untuk mendapatkan memori ini. , karena bahkan tidak ada di sana, dalam beberapa hal, jadi saya tahu bahwa sebagian dari itu sedang terjadi. ”
Eric Kavanagh: Ya.
Vicky Harp: Itu kemungkinan besar akan menjadi vendor yang sangat besar.
Eric Kavanagh: Ya. Saya ingin tahu untuk itu, dan mungkin Robin, jika Anda punya waktu sebentar, saya ingin tahu pengalaman Anda selama bertahun-tahun, karena sekali lagi, dalam hal perangkat keras, dalam hal ilmu material aktual yang masuk ke dalam apa yang Anda masukkan bersama-sama dari sisi vendor, informasi itu dapat pergi ke kedua sisi, dan secara teoritis kita pergi ke kedua sisi cukup cepat, jadi apakah ada cara untuk menggunakan perangkat keras lebih hati-hati, dari perspektif desain untuk meningkatkan keamanan? Bagaimana menurut anda? Robin, kamu bisu?
Robin Bloor: Ya, ya. Maaf, saya di sini; Saya hanya merenungkan pertanyaan itu. Sejujurnya, saya tidak punya pendapat, itu adalah bidang yang saya belum melihat secara signifikan, jadi saya agak, Anda tahu, saya bisa menciptakan opini, tapi saya tidak benar-benar tahu. Saya lebih suka hal-hal yang aman dalam perangkat lunak, itu hanya cara saya bermain, pada dasarnya.
Eric Kavanagh: Ya. Nah, teman-teman, kita sudah terbakar selama satu jam dan berubah di sini. Terima kasih banyak untuk Vicky Harp atas waktu dan perhatiannya - untuk semua waktu dan perhatian Anda; kami menghargai Anda muncul untuk hal-hal ini. Ini masalah besar; itu tidak akan hilang dalam waktu dekat. Ini adalah permainan kucing dan tikus yang akan terus berjalan dan pergi dan pergi. Dan begitu bersyukur bahwa beberapa perusahaan di luar sana, fokus pada memungkinkan keamanan, tetapi ketika Vicky bahkan menyinggung dan berbicara sedikit tentang presentasinya, pada akhirnya, orang-orang di organisasi yang perlu berpikir sangat hati-hati tentang ini serangan phishing, rekayasa sosial semacam itu, dan pegang laptop Anda - jangan tinggalkan itu di kedai kopi! Ubah kata sandi Anda, lakukan dasar-dasarnya, dan Anda akan mendapatkan 80 persen dari perjalanan ke sana.
Jadi, dengan itu, teman-teman, akan mengucapkan selamat tinggal, terima kasih sekali lagi atas waktu dan perhatian Anda. Nah, kejar Anda lagi nanti, hati-hati. Sampai jumpa.
Vicky Harp: Sampai jumpa, terima kasih.