বাড়ি ডেটাবেস অনুমতি চাইতে আরও ভাল: গোপনীয়তা এবং সুরক্ষার জন্য সর্বোত্তম অনুশীলন

অনুমতি চাইতে আরও ভাল: গোপনীয়তা এবং সুরক্ষার জন্য সর্বোত্তম অনুশীলন

Anonim

টেকোপিডিয়া স্টাফ, 10 মে, 2017

টেকওয়ে : হোস্ট এরিক কাভানাঘ ডাঃ রবিন ব্লার এবং আইডিরার ভিকি হার্পের সাথে সুরক্ষা এবং অনুমতি নিয়ে আলোচনা করেছেন।

আপনি বর্তমানে লগ ইন নেই Please ভিডিওটি দেখতে লগ ইন বা সাইন আপ করুন।

এরিক কাভানাঘ: ঠিক আছে, মহিলা এবং ভদ্রলোক, হ্যালো এবং আবার আপনাকে স্বাগতম। এটি বুধবার, এটি চারটি পূর্ব এবং এন্টারপ্রাইজ প্রযুক্তির বিশ্বে যার অর্থ হট টেকনোলজিসের জন্য এটি আবার একবার! হ্যাঁ, সত্যিই। টেকোপিডিয়ায় আমাদের বন্ধুদের দ্বারা চালিত অবশ্যই ব্লার গ্রুপ দ্বারা উপস্থাপিত। আজকের বিষয়টি একটি দুর্দান্ত বিষয়: "অনুমতি জিজ্ঞাসা করাই ভাল: গোপনীয়তা এবং সুরক্ষার জন্য সর্বোত্তম অভ্যাস।" এটি ঠিক, এটি এক কঠিন বিষয়, অনেক লোক এ সম্পর্কে কথা বলে তবে এটি বেশ গুরুতর বিষয়, এবং এটি সত্যিই প্রতিদিন আরও গুরুতর হয়ে উঠছে, বেশ খোলামেলাভাবে। এটি বহু সংস্থার পক্ষে বিভিন্নভাবে গুরুতর সমস্যা। আমরা সে সম্পর্কে কথা বলতে যাচ্ছি এবং আমরা আপনার সংগঠনকে এই দুর্বল চরিত্রগুলি থেকে রক্ষা করতে আপনি কী করতে পারেন সে সম্পর্কে কথা বলতে যাব যে এই দিনগুলিতে স্থান জুড়ে মনে হচ্ছে।

সুতরাং আজকের উপস্থাপক হলেন আইডিইআরএ থেকে কল করা ভিকি হার্প। আপনি লিংকডইনে আইডিআরএ সফটওয়্যারটি দেখতে পারেন - আমি লিঙ্কডইনে নতুন কার্যকারিতাটি পছন্দ করি। যদিও আমি বলতে পারি যে তারা নির্দিষ্ট উপায়ে কিছু স্ট্রিং টানছে, আপনাকে লোকদের অ্যাক্সেস না দিয়ে, আপনাকে সেই প্রিমিয়াম সদস্যতা কেনার চেষ্টা করছে। আপনি সেখানে যান, আমাদের নিজস্ব রবিন ব্লুর রয়েছে, ডায়ালিং করছে - সে আসলে আজ সান দিয়েগো অঞ্চলে। এবং আপনার মডারেটর / বিশ্লেষক হিসাবে সত্যই আপনার।

তাই আমরা যে বিষয়ে কথা হয় কি? তথ্য লঙ্ঘন। আমি এই তথ্যটি আইডেন্টিফোর্স ডটকম থেকে সরিয়ে নিয়েছি, এটি ইতিমধ্যে দৌড়ে এসে গেছে off আমরা এই বছরের অবশ্যই মেতে আছি, এবং কেবল মাত্র এক টন তথ্য লঙ্ঘন রয়েছে, ইয়াহু দ্বারা অবশ্যই কিছু বিশাল পরিমাণ রয়েছে! এটি ছিল একটি বড়, এবং আমরা অবশ্যই শুনেছি মার্কিন সরকার হ্যাক হচ্ছে। আমরা সবেমাত্র ফরাসী নির্বাচন হ্যাক করেছিলাম।

এটি পুরো জায়গাতেই ঘটছে, এটি অবিরত রয়েছে এবং এটি থামবে না, সুতরাং এটি বাস্তবতা, এটি নতুন বাস্তবতা, যেমনটি তারা বলে। আমাদের সিস্টেম এবং আমাদের ডেটার সুরক্ষা কার্যকর করার উপায়গুলি সম্পর্কে আমাদের সত্যই চিন্তা করা দরকার। এবং এটি একটি চলমান প্রক্রিয়া, সুতরাং খেলতে আসা সমস্ত বিভিন্ন ইস্যু সম্পর্কে চিন্তা করা ঠিক সময়েই। এটি কেবল একটি আংশিক তালিকা, তবে এটি আপনাকে এন্টারপ্রাইজ সিস্টেমগুলির সাথে পরিস্থিতি কতটা অনিশ্চিত বলে ঠিক তার কিছু দৃষ্টিভঙ্গি দেয়। এবং এই শোয়ের আগে, আমাদের প্রি-শো ব্যানারে আমরা মুক্তিপণ সম্পর্কে কথা বলছিলাম যা আমার পরিচিত কাউকে আঘাত করেছে, এটি একটি খুব অপ্রীতিকর অভিজ্ঞতা, যখন কেউ আপনার আইফোন নিয়ে যায় এবং আপনার ফোনে ফিরে অ্যাক্সেস পাওয়ার জন্য অর্থ দাবি করে। তবে এটি ঘটে, এটি কম্পিউটারের সাথে ঘটে, এটি সিস্টেমের ক্ষেত্রে ঘটেছিল, আমি অন্যদিন দেখেছি, এটি তাদের কোটি টাকার কোটিপতিদের সাথে ঘটছে। একদিন আপনার ইয়টে যাওয়ার কল্পনা করুন, আপনার সমস্ত বন্ধুকে মুগ্ধ করার চেষ্টা করলেন এবং আপনি এটি চালু করতেও পারবেন না, কারণ কিছু চোর নিয়ন্ত্রণ, নিয়ন্ত্রণ প্যানেলে অ্যাক্সেস চুরি করেছে। আমি অন্য দিন কেবল কারও কাছে একটি সাক্ষাত্কারে বলেছিলাম, সর্বদা ম্যানুয়ালটি ওভাররাইড করুন। ভালো লেগেছে, আমি সংযুক্ত সমস্ত গাড়ির বড় পাখা নই - এমনকি গাড়িও হ্যাক করা যায় be ইন্টারনেটে সংযুক্ত, বা এমন কোনও নেটওয়ার্কের সাথে সংযুক্ত যে কোনও জিনিস যা প্রবেশ করা যায় তা হ্যাক করা যায়, যে কোনও কিছু।

সুতরাং, পরিস্থিতি কতটা গুরুতর, তার প্রেক্ষাপট গঠনের ক্ষেত্রে বিবেচনা করতে এখানে কয়েকটি আইটেম রয়েছে। ওয়েব-ভিত্তিক সিস্টেমগুলি আজকাল সর্বত্র রয়েছে, তারা ক্রমবর্ধমান অবিরত। কত লোক অনলাইনে জিনিস কিনে? আজকাল এটি কেবল ছাদের মধ্য দিয়েই রয়েছে, এই কারণেই আজকাল অ্যামাজন এত শক্তিশালী শক্তি। এর কারণ অনেক লোক অনলাইনে জিনিস কিনছেন।

সুতরাং, আপনার মনে আছে 15 বছর আগে, লোকেরা তাদের তথ্য পেতে তাদের ক্রেডিট কার্ডকে একটি ওয়েব ফর্মের মধ্যে রাখার বিষয়ে বেশ ঘাবড়ে গিয়েছিল এবং তত্ক্ষণাত্ যুক্তিটি ছিল, "আচ্ছা, যদি আপনি আপনার ক্রেডিট কার্ডটি ওয়েটারের হাতে দেন তবে একটি রেস্তোঁরা, তারপরে একই জিনিস ”" সুতরাং, আমাদের উত্তর হ্যাঁ, এটি একই জিনিস, এই নিয়ন্ত্রণ পয়েন্টগুলি বা অ্যাক্সেস পয়েন্টগুলি, একই জিনিস, একই মুদ্রার বিভিন্ন দিক রয়েছে, যেখানে লোকদের রাখা যেতে পারে ঝুঁকির মধ্যে পড়ে, যেখানে কেউ আপনার অর্থ নিতে পারে বা কেউ আপনার কাছ থেকে চুরি করতে পারে।

তারপরে আইওটি অবশ্যই হুমকিসীমাটি প্রসারিত করে - আমি সেই শব্দটি পছন্দ করি - প্রস্থের আদেশ দিয়ে। মানে, এটি সম্পর্কে চিন্তা করুন - এই সমস্ত নতুন ডিভাইস সহ যেকোন জায়গায়, যদি কেউ তাদের নিয়ন্ত্রণ করে এমন কোনও সিস্টেমে হ্যাক করতে পারে তবে তারা সেই সমস্ত বটগুলি আপনার বিরুদ্ধে ঘুরিয়ে আনতে পারে এবং প্রচুর এবং প্রচুর সমস্যা তৈরি করতে পারে, সুতরাং এটি খুব গুরুতর বিষয়। আজকাল আমাদের একটি বিশ্বব্যাপী অর্থনীতি রয়েছে, যা হুমকির মুখোমুখি আরও প্রসারিত করে এবং আরও কী, আপনারা অন্যান্য দেশের লোকেরা ওয়েবে অ্যাক্সেস করতে পারেন ঠিক তেমনভাবে আপনি এবং আমিও করতে পারি, এবং আপনি যদি রাশিয়ান কথা বলতে না জানেন তবে, বা অন্য যে কোনও ভাষা, আপনার সিস্টেমে হ্যাক করার পরে কী চলছে তা বোঝার জন্য আপনার খুব কষ্ট হতে চলেছে। সুতরাং আমাদের নেটওয়ার্কিং এবং ভার্চুয়ালাইজেশন অগ্রগতি আছে, ভাল এটি ভাল।

তবে আমার এখানে এই ছবির ডানদিকে রয়েছে, একটি তরোয়াল এবং আমার কাছে এটি কারণ কারণ প্রতিটি তরোয়াল উভয় উপায়ে কাটায়। এটি যেমন একটি তীক্ষ্ণ তরোয়াল, তারা বলছে, এবং এটি একটি পুরানো ছোঁড়া, তবে এর অর্থ আমার কাছে থাকা তরোয়ালটি আপনাকে ক্ষতি করতে পারে বা এটি আমার ক্ষতি করতে পারে। এটি আমার কাছে ফিরে আসতে পারে, হয় ফিরে বাউন্স করে বা এটি গ্রহণ করে। এটি আসলে esসপের একটি উপকথা - আমরা প্রায়শই শত্রুদেরকে আমাদের নিজস্ব ধ্বংসের সরঞ্জাম দিয়ে থাকি। এটি সত্যিই বেশ জোরালো গল্পের কাহিনী এবং এটি এমন একজনের সাথে সম্পর্কযুক্ত যা ধনুক এবং তীর ব্যবহার করে একটি পাখি গুলি করে এবং পাখিটি দেখেছিল, তীর যখন আসছিল, তার পাখির বন্ধুরা থেকে পালকটি তীরের কিনারে ছিল, দিকনির্দেশনা দেওয়ার জন্য তীরের পিছনে, এবং সে নিজেকে মনে করেছিল, "ওহে মানুষ, এটি আমার নিজের পালক, আমার নিজের পরিবার আমাকে নেওয়ার জন্য ব্যবহার করা হবে” "সর্বদা এটি ঘটে থাকে, আপনি শুনেন আপনার বাড়িতে একটি বন্দুক আছে সম্পর্কে পরিসংখ্যান, চোর বন্দুকটি নিতে পারে। ঠিক আছে, এটা সব সত্য। সুতরাং, আমি এটি বিবেচনা করার জন্য একটি সাদৃশ্য হিসাবে এখানে ফেলে দিচ্ছি, এই সমস্ত বিভিন্ন বিকাশের ইতিবাচক দিক এবং নেতিবাচক দিক রয়েছে।

এবং কথা বলছি, আপনার মধ্যে যারা সত্যিই এন্টারপ্রাইজ কম্পিউটিংয়ের কাটিয়া প্রান্তটি অনুসরণ করেন তাদের জন্য পাত্রে হ'ল পাত্রে সর্বশেষ জিনিস, কার্যকারিতা সরবরাহের সর্বশেষতম উপায়, এটি সত্যই পরিষেবা-ভিত্তিক আর্কিটেকচারে ভার্চুয়ালাইজেশনের বিবাহ, অন্তত মাইক্রোসার্ভেসিসের জন্য এবং এটি খুব আকর্ষণীয় জিনিস। আপনি অবশ্যই পাত্রে ব্যবহার করে আপনার সুরক্ষা প্রোটোকল এবং আপনার অ্যাপ্লিকেশন প্রোটোকল এবং আপনার ডেটা এবং আরও কিছুক্ষণ সামনে যেতে পারেন, এবং এটি আপনাকে একটি সময়ের জন্য অগ্রিম সরবরাহ করতে পারে তবে খুব শীঘ্রই বা খারাপ লোকেরা এটি নির্ধারণ করতে চলেছে, এবং তাহলে এটি আপনার সিস্টেমের সুবিধা গ্রহণ করা রোধ করা আরও শক্ত হতে চলেছে। সুতরাং, এটি আছে, এমন একটি বিশ্বব্যাপী কর্মী রয়েছে যা নেটওয়ার্ক এবং সুরক্ষাকে জটিল করে তোলে এবং লোকেরা যেখান থেকে লগ ইন করছে।

আমরা ব্রাউজার যুদ্ধ পেয়েছি যা দ্রুতগতিতে অব্যাহত রয়েছে, এবং আপডেট এবং জিনিসগুলির শীর্ষে থাকার জন্য ধ্রুবক কাজ প্রয়োজন। আমরা পুরানো মাইক্রোসফ্ট এক্সপ্লোরার ব্রাউজারগুলির বিষয়ে শুনছি, সেগুলি কীভাবে হ্যাক হয়েছিল এবং সেখানে কীভাবে উপলব্ধ ছিল। সুতরাং, আজকাল হ্যাকিংয়ের জন্য আরও অর্থোপার্জন করা দরকার, পুরো শিল্প আছে, এটি আমার সঙ্গী ডঃ ব্লুর আট বছর আগে আমাকে শিখিয়েছিল - আমি ভাবছিলাম যে আমরা কেন এত কিছু দেখছি, এবং তিনি মনে করিয়ে দিয়েছিলেন আমি, এটি হ্যাকিংয়ের সাথে জড়িত একটি সম্পূর্ণ শিল্প। এবং সেই অর্থে, আখ্যানটি, যা আমার সুরক্ষার বিষয়ে সবচেয়ে কম প্রিয় শব্দ, এটি সত্যই খুব অসত, কারণ বিবরণী আপনাকে এই সমস্ত ভিডিওতে এবং কোনও ধরণের সংবাদ কভারেজে দেখায় কিছু হ্যাকিং তারা কিছু লোককে হুডিতে দেখায়, বসে থাকে একটি অন্ধকার আলোকিত কক্ষে তার বেসমেন্টে, এটি মোটেও নয়। এটি বাস্তবে কোনও প্রতিনিধি নয়। এটি একাকী হ্যাকার, খুব অল্প হ্যাকার রয়েছে, তারা বাইরে আছে, তারা কিছুটা সমস্যা তৈরি করছে - তারা বড় সমস্যার কারণ নয়, তবে তারা পুরো অর্থ উপার্জন করতে পারে। সুতরাং যা ঘটে তা হ্যাকাররা এসে উপস্থিত হয় এবং আপনার সিস্টেমে প্রবেশ করে এবং তারপরে অন্য কারও কাছে সেই অ্যাক্সেস বিক্রি করে, যে ঘুরে দাঁড়ায় এবং এটিকে অন্য কারও কাছে বিক্রি করে এবং তারপরে কোথাও লাইনটি পড়ে, কেউ সেই হ্যাকটিকে কাজে লাগায় এবং আপনার সুবিধা নেয় takes এবং চুরি হওয়া ডেটার সুবিধা নেওয়ার অসংখ্য উপায় রয়েছে।

এমনকি আমরা কীভাবে এই ধারণাকে গ্ল্যামারাইজ করছি তা সম্পর্কে আমি নিজেও অবাক হয়েছি। আপনি এই শব্দটি সর্বত্র দেখেন, "গ্রোথ হ্যাকিং" এটি ভাল জিনিস good গ্রোথ হ্যাকিং, আপনি জানেন, হ্যাকিং একটি ভাল জিনিস হতে পারে, যদি আপনি ভাল লোকদের পক্ষে কথা বলতে এবং কোনও সিস্টেমে হ্যাক করার জন্য চেষ্টা করার চেষ্টা করেন, যেমন আমরা উত্তর কোরিয়া এবং তাদের ক্ষেপণাস্ত্র লঞ্চগুলির বিষয়ে শুনে রাখি, সম্ভাব্যভাবে হ্যাক হচ্ছে - এটা ভালো. তবে হ্যাকিং প্রায়শই খারাপ জিনিস হয়ে থাকে। রবিন হুডকে যখন আমরা গ্ল্যামারাইজ করেছি তখন এখন আমরা প্রায় রবিন হুডের মতো এটি গ্ল্যামারাইজ করছি। এবং তারপরে নগদহীন সমাজ রয়েছে, যা আমার কাছে প্রকাশ্য দিবালোক উদারভাবে উদ্বেগজনক। আমি যতবার শুনি সবই মনে হয়, "না, দয়া করে এটি করবেন না! দয়া করে করবেন না! ”আমি চাই না আমাদের সমস্ত অর্থ অদৃশ্য হয়ে যায়। সুতরাং, এগুলি বিবেচনা করার জন্য কেবল কয়েকটি সমস্যা এবং আবার এটি একটি বিড়াল এবং মাউস খেলা; এটি কখনই থামবে না, সুরক্ষা প্রোটোকলগুলির জন্য এবং সুরক্ষা প্রোটোকলগুলির অগ্রগতির জন্য সর্বদা প্রয়োজন থাকবে। এবং কারা আছে সেগুলি জানার জন্য এবং সেন্সর করার জন্য আপনার সিস্টেমগুলি পর্যবেক্ষণ করার জন্য, বোঝার সাথে এটি এমনকি অভ্যন্তরীণ কাজও হতে পারে। সুতরাং, এটি একটি চলমান সমস্যা, এটি বেশ কিছু সময়ের জন্য একটি চলমান সমস্যা হতে চলেছে - সে সম্পর্কে কোনও ভুল করবেন না।

এবং তার সাথে, আমি এটি ড। ব্লুরের হাতে দেব, যিনি আমাদের সাথে ডাটাবেসগুলি সুরক্ষার বিষয়ে কিছু চিন্তাভাবনা ভাগ করে নিতে পারেন। রবিন, নিয়ে যাও।

রবিন ব্লার: ওকে, একটি আকর্ষণীয় হ্যাক, আমার মনে হয় এটি প্রায় পাঁচ বছর আগে ঘটেছিল, তবে মূলত এটি একটি কার্ড প্রসেসিং সংস্থা ছিল যা হ্যাক হয়েছিল। এবং প্রচুর কার্ডের বিশদ চুরি হয়ে গেছে। তবে এটি সম্পর্কে আকর্ষণীয় বিষয়টি আমার কাছে ছিল যে এটি ছিল সত্যিকারের পরীক্ষামূলক ডাটাবেস যা তারা আসলে, ুকে পড়েছিল এবং সম্ভবত এটিই ছিল যে প্রসেসিং কার্ডগুলির প্রকৃত, বাস্তব ডাটাবেসে প্রবেশ করতে তাদের প্রচুর অসুবিধা হয়েছিল। তবে আপনি কীভাবে এটি জানেন যে এটি বিকাশকারীদের সাথে রয়েছে, তারা কেবল একটি ডাটাবেসের একটি কাটা নিয়ে যান এবং এটি সেখানে সরিয়ে দেন। এটি বন্ধ করার জন্য আরও অনেক বেশি নজরদারি করা উচিত ছিল। তবে প্রচুর আকর্ষণীয় হ্যাকিংয়ের গল্প রয়েছে, এটি একটি ক্ষেত্রে তৈরি করে, এটি একটি খুব আকর্ষণীয় বিষয় করে।

সুতরাং আমি বাস্তবে যাচ্ছি, একভাবে বা অন্যভাবে, এরিক যা বলেছিলেন তার কয়েকটি পুনরাবৃত্তি করছি, তবে স্থিতিশীল লক্ষ্য হিসাবে ডেটা সুরক্ষার কথা ভাবা সহজ; স্থিতিশীল পরিস্থিতি বিশ্লেষণ করা এবং তারপরে প্রতিরক্ষা ব্যবস্থা রাখা, সেখানে সুরক্ষা দেওয়ার কথা ভাবাই সহজ কারণ এটি সহজ but এটি লক্ষ্য স্থিতিশীল এবং এটি এমন এক জিনিস যা এই ধরণের সুরক্ষা স্থানকে পুরোপুরি সংজ্ঞায়িত করে। এটি ঠিক যেভাবে সমস্ত প্রযুক্তি বিকশিত হয় ঠিক তেমনই খারাপ লোকগুলির প্রযুক্তিও বিকশিত হয়। সুতরাং, সংক্ষিপ্ত ওভারভিউ: তথ্য চুরি নতুন কিছু নয়, প্রকৃতপক্ষে ডেটা গুপ্তচরবৃত্তি হ'ল ডেটা চুরি এবং এটি হাজার হাজার বছর ধরে চলে আসছে, আমি মনে করি।

এই পদগুলির মধ্যে সবচেয়ে বড় তথ্য হ'ল ব্রিটিশরা জার্মান কোডগুলি ভাঙ্গছিল এবং আমেরিকানরা জাপানি কোডগুলি ভঙ্গ করেছিল এবং উভয় ক্ষেত্রেই তারা যুদ্ধকে খুব উল্লেখযোগ্যভাবে সংক্ষিপ্ত করেছিল। এবং তারা কেবল দরকারী এবং মূল্যবান ডেটা চুরি করছিল, এটি অবশ্যই খুব চতুর ছিল, তবে আপনি জানেন যে, এখনই যা চলছে তা প্রচুর চালাক ver সাইবার চুরি ইন্টারনেটের সাথে জন্মগ্রহণ করে এবং ২০০৫ সালের দিকে বিস্ফোরিত হয়েছিল I আমি গিয়ে সমস্ত পরিসংখ্যানের দিকে তাকিয়েছিলাম এবং যখন আপনি সত্যিই গুরুতর হয়ে উঠতে শুরু করেছিলেন এবং কোনওভাবে বা অন্যভাবে উল্লেখযোগ্যভাবে উচ্চ সংখ্যাটি প্রায় ২০০৫ সালে শুরু হয়েছিল since তারপর। অনেক খেলোয়াড়, সরকার জড়িত, ব্যবসায় জড়িত, হ্যাকার গ্রুপ এবং ব্যক্তিরা।

আমি মস্কো গিয়েছিলাম - এটি প্রায় পাঁচ বছর কেটে গেছে - এবং আমি আসলে যুক্তরাজ্যের একজন লোকের সাথে প্রচুর সময় ব্যয় করেছি, যে পুরো হ্যাকিংয়ের পুরো জায়গা নিয়ে গবেষণা করছে। এবং তিনি বলেছিলেন - এবং এটি সত্য কিনা আমার কোনও ধারণা নেই, আমি কেবল এটির জন্য তাঁর কথাটি পেয়েছি, তবে এটি খুব সম্ভবত বলে মনে হচ্ছে - যে রাশিয়ায় বিজনেস নেটওয়ার্ক নামে কিছু আছে যা হ্যাকারদের একটি গ্রুপ যা সমস্ত, আপনি জানেন, তারা কেজিবি-র ধ্বংসাবশেষ থেকে বেরিয়ে এসেছিল। এবং তারা নিজেরাই কেবল বিক্রি করে, তার অর্থ নয়, আমি নিশ্চিত যে রাশিয়ান সরকার এগুলি ব্যবহার করে, তবে তারা নিজেরাই যে কারও কাছে বিক্রি করে, এবং এটি গুজব ছিল, বা তিনি বলেছিলেন যে এটি গুজব ছিল, যে বিভিন্ন বিদেশী সরকার ব্যবসায়ের নেটওয়ার্ক ব্যবহার করছে বিশ্বাসযোগ্য deniability. এই ছেলেরা কোটি কোটি আপোষযুক্ত পিসিগুলির নেটওয়ার্ক রয়েছে যা তারা আক্রমণ করতে পারে। এবং আপনি কল্পনা করতে পারেন এমন সমস্ত সরঞ্জাম তাদের কাছে ছিল।

সুতরাং, আক্রমণ এবং প্রতিরক্ষা প্রযুক্তি বিকশিত হয়েছিল। এবং ব্যবসায়ীরা তাদের ডেটা মালিকানাধীন কিনা তা তাদের যত্ন নেওয়ার দায়িত্ব রয়েছে। এবং এটি নিয়ন্ত্রণের বিভিন্ন টুকরোগুলি যে ইতিমধ্যে কার্যকরভাবে কার্যকর হয়েছে, বা কার্যকর হয়েছে তার দিক থেকে আরও স্পষ্ট হয়ে উঠতে শুরু করেছে। এবং উন্নতি হওয়ার সম্ভাবনা রয়েছে, কারও একরকম বা অন্যভাবে, কারও এমনভাবে হ্যাকিংয়ের ব্যয় বহন করতে হবে যাতে তারা সম্ভাবনাটি বন্ধ করার জন্য উত্সাহিত হয়। এটি আমার অনুমান করা প্রয়োজন যেগুলির মধ্যে একটি। হ্যাকারদের সম্পর্কে তাই তারা যে কোনও জায়গায় অবস্থিত হতে পারে। বিশেষত আপনার সংস্থার মধ্যে - আমি যে দরজা খোলার জন্য কারও সাথে জড়িত থাকার কথা শুনেছি gen আপনি জানেন, ব্যক্তিটি এটি ব্যাংক ডাকাতদের মতো অবস্থা, প্রায়শই তারা বলত ভাল ব্যাঙ্ক ডাকাতগুলিতে একটি অভ্যন্তর থাকে। তবে অন্তঃস্থলটির কেবল তথ্য দেওয়া দরকার, সুতরাং তাদের পাওয়া, এটি কে ছিল তা জানার পক্ষে আরও অনেক কিছু difficult

এবং তাদের বিচারের আওতায় আনতে অসুবিধা হতে পারে, কারণ মলদোভাতে আপনাকে যদি একদল লোক হ্যাক করে ফেলেছিল, এমনকি যদি আপনি জানতেন যে এই দলটিই ছিল, তবে আপনি কীভাবে তাদের চারপাশে একরকম আইনী ঘটনা ঘটাবেন? এটি একধরনের অন্য ক্ষেত্রের মধ্যে এক ধরণের, এটি ঠিক, হ্যাকারদের পিন করার জন্য আন্তর্জাতিক ব্যবস্থাগুলির খুব ভাল সেট নেই। তারা প্রযুক্তি এবং তথ্য ভাগ করে; এটির অনেক কিছুই ওপেন সোর্স। আপনি যদি নিজের ভাইরাস তৈরি করতে চান তবে সেখানে প্রচুর ভাইরাস কিট রয়েছে - সম্পূর্ণ ওপেন সোর্স। এবং তাদের যথেষ্ট সংস্থান আছে, এমন একটি সংখ্যা রয়েছে যা ডেটা সেন্টারগুলিতে এবং পিসিগুলিতে এক মিলিয়নেরও বেশি আপসযুক্ত ডিভাইসে বোটনেটস পেয়েছিল। কিছু কিছু লাভজনক ব্যবসা রয়েছে যা দীর্ঘদিন ধরে চলে আসছে, এবং তারপরে সরকারী গোষ্ঠী রয়েছে, যেমনটি আমি উল্লেখ করেছি। এরিক যেমন বলেছিলেন এটি অসম্ভব, এই ঘটনাটি কখনই শেষ হওয়ার সম্ভাবনা নেই।

সুতরাং, এটি একটি আকর্ষণীয় হ্যাক আমি কেবল ভেবেছিলাম আমি এটি উল্লেখ করব, 'কারণ এটি মোটামুটি সাম্প্রতিক হ্যাক ছিল; এটি গত বছর ঘটেছে। ইথেরিয়াম ক্রিপ্টো মুদ্রার সাথে সম্পর্কিত ডিএও চুক্তিতে একটি দুর্বলতা ছিল। এবং এটি একটি ফোরামে আলোচনা করা হয়েছিল, এবং এক দিনের মধ্যে, ডিএও চুক্তিটি হ্যাক হয়ে যায়, সেই দুর্বলতাটিকে স্পষ্টভাবে ব্যবহার করে। Ther 50 মিলিয়ন ইথার ইফতার করা হয়েছিল, এটি ডিএও প্রকল্পে তাত্ক্ষণিক সংকট সৃষ্টি করে এবং এটি বন্ধ করে দেয়। এবং ইথেরিয়াম আসলে হ্যাকারকে অর্থের অ্যাক্সেস থেকে দূরে রাখতে চেষ্টা করার চেষ্টা করেছিল এবং তারা একরকম তার গ্রহণ কমিয়ে দিয়েছে। তবে এটিও বিশ্বাস করা হয়েছিল - নিশ্চিতভাবে জানা যায়নি - হ্যাকার আসলে তার আক্রমণের আগে ইথারের দাম কমিয়ে দিয়েছিল, এই বিষয়টি জেনে যে ইথারের দাম হ্রাস পাবে এবং এভাবে অন্য উপায়ে লাভ হয়েছিল।

এবং এটি অন্যটি, যদি আপনি পছন্দ করেন তবে স্ট্রেটেজ যা হ্যাকাররা ব্যবহার করতে পারে। যদি তারা আপনার শেয়ারের দাম ক্ষতি করতে পারে এবং তারা জানে যে তারা এটি করবে, তবে তাদের পক্ষে কেবল শেয়ারের দামটি হ্রাস করা এবং হ্যাক করা দরকার, সুতরাং এটি একরকম, এই ছেলেরা স্মার্ট, আপনি জানেন। এবং দাম হ'ল অর্থ, ব্যাঘাত এবং মুক্তিপণের চুরি, যেখানে আপনি বিনিয়োগ ব্যাহত করে এবং স্টক, নাশকতা, পরিচয় চুরি, সমস্ত ধরণের কেলেঙ্কারীর সংক্ষিপ্তসার, কেবল বিজ্ঞাপনের জন্য। এবং এটি রাজনৈতিক বা স্পষ্টতই, গুপ্তচরবৃত্তির গুপ্তচরবৃত্তি হতে পারে এবং এমন কিছু লোক রয়েছে যা আপনি গুগল, অ্যাপল, ফেসবুক - এমনকি পেন্টাগনকে হ্যাক করার চেষ্টা করে যে বাগ বাগানের কাজগুলি অর্জন করতে পারেন তা থেকে বাস্তবে বাগ উত্সাহ দেয়। এবং আপনি শুধু হ্যাক; যদি এটি সফল হয়, তবে আপনি কেবল গিয়ে নিজের পুরষ্কারটির দাবি করুন, এবং কোনও ক্ষতি করা হয়নি, সুতরাং এটি খুব সুন্দর জিনিস, আপনি জানেন know

আমি পাশাপাশি সম্মতি এবং নিয়ন্ত্রণ উল্লেখ করতে পারে। ক্ষেত্রের উদ্যোগগুলি বাদ দিয়ে, সরকারী বিধিবিধানগুলির প্রচুর পরিমাণ রয়েছে: হিপ্পা, সক্স, ফিসমা, ফেরপা এবং জিএলবিএ সমস্ত মার্কিন আইন। মান আছে; পিসিআই-ডিএসএস মোটামুটি সাধারণ স্ট্যান্ডার্ডে পরিণত হয়েছে। এবং তারপরে ডেটা মালিকানার বিষয়ে আইএসও 17799 রয়েছে। জাতীয় বিধিবিধানগুলি দেশ থেকে আলাদা, এমনকি ইউরোপেও আলাদা। এবং বর্তমানে জিডিপিআর - গ্লোবাল ডেটা, এটি কীসের পক্ষে দাঁড়ায়? গ্লোবাল ডেটা প্রোটেকশন রেগুলেশন, আমি মনে করি এটি এর জন্য দাঁড়িয়েছে - তবে এটি পরের বছর কার্যকর হচ্ছে, বলেছিল। এবং এটি সম্পর্কে মজার বিষয় হ'ল এটি বিশ্বজুড়ে প্রযোজ্য। যদি আপনার 5, 000 বা ততোধিক গ্রাহক পেয়ে থাকেন, যাদের উপর আপনি ব্যক্তিগত তথ্য পেয়েছেন এবং তারা ইউরোপে বাস করেন তবে ইউরোপ আপনাকে বাস্তবে কাজে লাগিয়ে দেবে, আপনার কর্পোরেশন আসলে সদর দফতর নয় বা এটি কোথায় কাজ করে তা বিবেচনা করে না। এবং জরিমানা, সর্বাধিক জরিমানা হল বার্ষিক আয়ের চার শতাংশ, যা মাত্র বিশাল, যাতে এটি কার্যকর হয় যখন বিশ্বের এক আকর্ষণীয় মোড় হবে be

চিন্তা করার বিষয়গুলি, ভাল, ডিবিএমএস দুর্বলতা, বেশিরভাগ মূল্যবান ডেটা আসলে ডাটাবেসে বসে থাকে। এটি মূল্যবান কারণ আমরা এটিকে সহজলভ্য করে তুলতে এবং এটির সুসংগঠিত করতে বিপুল পরিমাণ সময় রেখেছি এবং যদি আপনি সত্যিকারের সঠিক ডিবিএমএস সিকিওরিটিগুলি প্রয়োগ না করেন তবে এটি আরও দুর্বল করে তোলে। স্পষ্টতই, আপনি যদি এই জাতীয় জিনিসের জন্য পরিকল্পনা করতে চলেছেন তবে আপনাকে বিভিন্ন সংস্থার জন্য ডেটা কীরকম হতে পারে তা চিহ্নিত করতে হবে এবং মনে রাখতে হবে যে বিভিন্ন কারণে ডেটা দুর্বল হতে পারে। এটি গ্রাহকের ডেটা হতে পারে তবে এটি সমানভাবে অভ্যন্তরীণ দলিল হতে পারে যা গুপ্তচরবৃত্তি উদ্দেশ্যে এবং এর জন্য আরও মূল্যবান হতে পারে। সুরক্ষা নীতি, বিশেষত অ্যাক্সেস সুরক্ষা সম্পর্কিত - যা সাম্প্রতিক সময়ে আমার মতে খুব দুর্বল, নতুন ওপেন সোর্স স্টাফের ক্ষেত্রে - এনক্রিপশন আরও ব্যবহৃত হচ্ছে কারণ এটি বেশ শক্তিশালী।

সুরক্ষা লঙ্ঘনের ব্যয়, বেশিরভাগ লোক জানে না, তবে আপনি যদি সুরক্ষা লঙ্ঘনের শিকার সংস্থাগুলির সাথে কী ঘটেছিল তা যদি আপনি সত্যিই দেখেন তবে দেখা যায় যে সুরক্ষা লঙ্ঘনের ব্যয় প্রায়শই আপনার ভাবার চেয়ে অনেক বেশি হয় think । এবং তারপরে অন্য জিনিসটি ভাবার বিষয়টি হ'ল আক্রমণ আক্রমণ, কারণ আপনার সংস্থাগুলির সাথে যে কোনও জায়গায় যে কোনও সফ্টওয়্যার চালানো হচ্ছে আক্রমণ আক্রমণ উপস্থাপন করে। যেকোন ডিভাইস যেমন করুন তা ডেটাও করে না কেন তা এটি কীভাবে সঞ্চিত থাকে। সব কিছু, আক্রমণের পৃষ্ঠটি ইন্টারনেটের সাথে বাড়ছে, আক্রমণটির পৃষ্ঠটি সম্ভবত দ্বিগুণ হতে চলেছে।

সুতরাং, শেষ পর্যন্ত, ডিবিএ এবং ডেটা সুরক্ষা। ডেটা সুরক্ষা সাধারণত ডিবিএর ভূমিকার অংশ। তবে এটিও সহযোগী। এবং এটি কর্পোরেট নীতি সাপেক্ষে হওয়া দরকার, অন্যথায় এটি সম্ভবত কার্যকরভাবে প্রয়োগ করা হবে না। এই বলে, আমি মনে করি আমি বলটি পাস করতে পারি।

এরিক কাভানাঘ: ঠিক আছে, আমাকে ভিকি দিয়ে চাবিগুলি দিন। এবং আপনি আপনার স্ক্রিনটি ভাগ করতে বা এই স্লাইডগুলিতে সরাতে পারেন, এটি আপনার উপর নির্ভর করে এটিকে সরিয়ে ফেলুন।

ভিকি হার্প: না, আমি এই স্লাইডগুলি দিয়ে শুরু করব, আপনাকে অনেক ধন্যবাদ। সুতরাং, হ্যাঁ, আমি কেবল একটি দ্রুত মুহূর্তটি নিয়ে নিজের পরিচয় দিতে চাইছিলাম। আমি ভিকি হার্প। আমি একজন পরিচালক, আইডিআরএ সফ্টওয়্যারটিতে এসকিউএল পণ্যগুলির জন্য পণ্য পরিচালনা, এবং আপনারা যারা আমাদের সাথে পরিচিত নন, আইডেরার বেশ কয়েকটি পণ্যের লাইন রয়েছে, তবে আমি এখানে এসকিউএল সার্ভারের পক্ষে কথা বলছি। এবং তাই, আমরা পারফরম্যান্স মনিটরিং, সুরক্ষা সম্মতি, ব্যাকআপ, প্রশাসনের সরঞ্জামগুলি করি - এবং এটি কেবল তাদের তালিকাভুক্তির মতো। এবং অবশ্যই, আমি আজ যে বিষয়ে কথা বলতে এসেছি তা হ'ল সুরক্ষা এবং সম্মতি।

আমি আজ যা বলতে চাই তার বেশিরভাগ অংশই আমাদের পণ্যগুলি অগত্যা নয়, যদিও আমি পরে এর কয়েকটি উদাহরণ দেখাতে চাইছি। আমি আপনার সাথে ডাটাবেস সুরক্ষা সম্পর্কে আরও কথা বলতে চেয়েছিলাম, এখনই ডাটাবেস সুরক্ষার জগতে কিছু হুমকী, কিছু ভাবার বিষয়, এবং আপনার এসকিউএল সুরক্ষিত করার জন্য আপনাকে কী কী সন্ধান করতে হবে তার প্রবর্তক ধারণা সম্পর্কে সার্ভার ডাটাবেসগুলি এবং এটিও নিশ্চিত করা হয়েছে যে তারা যে নিয়ন্ত্রক কাঠামোর সাথে আপনি সম্মতিযুক্ত হতে পারেন তা মেনে চলছে, যেমনটি উল্লেখ করা হয়েছিল। জায়গায় বিভিন্ন বিধি আছে; তারা বিশ্বব্যাপী বিভিন্ন শিল্পে, বিভিন্ন জায়গায় যায় এবং এগুলি চিন্তা করার বিষয়।

সুতরাং, আমি একধরনের সময় নিতে চাই এবং তথ্য লঙ্ঘনের পরিস্থিতি সম্পর্কে কথা বলতে চাই - এবং ইতিমধ্যে এখানে যে আলোচনা করা হয়েছে তার খুব বেশি পুনরাবৃত্তি না করতে - আমি সম্প্রতি এই ইন্টেল সুরক্ষা গবেষণা গবেষণাটি দেখছিলাম এবং তাদের জুড়ে - আমি মনে করি ১৫০০ বা তারও বেশি সংস্থার সাথে তারা কথা বলেছিল - ডেটা হ্রাস লঙ্ঘনের ক্ষেত্রে তাদের গড়ে ছয়টি সুরক্ষা লঙ্ঘন হয়েছিল এবং এর মধ্যে percent৮ শতাংশের কিছুটা হলেও প্রকাশের প্রয়োজন ছিল, তাই তারা শেয়ারের দামকে প্রভাবিত করেছিল, বা তাদের কিছু ক্রেডিট করতে হয়েছিল তাদের গ্রাহক বা তাদের কর্মীদের জন্য নিরীক্ষণ, ইত্যাদি।

কিছু আকর্ষণীয় অন্যান্য পরিসংখ্যান হ'ল অভ্যন্তরীণ অভিনেতারা যারা 43৩ শতাংশের জন্য দায়ী ছিলেন। সুতরাং, অনেক লোক হ্যাকার এবং এই জাতীয় ছায়াময় সরকারী সংস্থা বা সংগঠিত অপরাধ ইত্যাদি সম্পর্কে প্রচুর পরিমাণে ধারণা পোষণ করে তবে অভ্যন্তরীণ অভিনেতারা এখনও তাদের নিয়োগকারীদের বিরুদ্ধে সরাসরি পদক্ষেপ নিচ্ছে, মামলার একটি উচ্চতর অনুপাতে। এবং এগুলি কখনও কখনও এর বিরুদ্ধে রক্ষা করা আরও কঠিন, কারণ লোকেরা সেই ডেটা অ্যাক্সেস করার বৈধ কারণ থাকতে পারে। এর প্রায় অর্ধেক, 43 শতাংশ এক অর্থে দুর্ঘটনাজনিত ক্ষতি ছিল। সুতরাং, উদাহরণস্বরূপ, যেখানে কেউ ডেটা বাড়িতে নিয়েছে এবং তারপরে সেই ডেটা ট্র্যাক হারিয়ে ফেলেছে, যা আমাকে এই তৃতীয় পয়েন্টে নিয়ে যায়, এটি হ'ল শারীরিক মিডিয়ায় স্টাফ এখনও 40% লঙ্ঘনের সাথে জড়িত ছিল। সুতরাং, এটি ইউএসবি কী, এটি মানুষের ল্যাপটপ, এটি আসল মিডিয়া যা শারীরিক ডিস্কগুলিতে জ্বালিয়ে দেওয়া হয়েছিল এবং বিল্ডিংয়ের বাইরে নিয়ে গিয়েছিল।

আপনি যদি ভাবেন, আপনার কি এমন বিকাশকারী আছে যাঁর ল্যাপটপে আপনার প্রোডাকশন ডেটাবেজের একটি অনুলিপি আছে? তারপরে তারা একটি বিমানে উঠতে যায় এবং তারা বিমান থেকে নেমে যায় এবং তারা চেক করা লাগেজ পায় এবং তাদের ল্যাপটপটি চুরি হয়ে যায়। আপনার এখন ডেটা লঙ্ঘন হয়েছে। আপনি অগত্যা ভাবতে পারেন না যে সে কারণেই ল্যাপটপটি নেওয়া হয়েছিল, এটি বুনো কখনও দেখা যায় না। তবে এটি এখনও একটি লঙ্ঘন হিসাবে গণ্য, এটি প্রকাশের প্রয়োজন হবে, আপনার কেবলমাত্র সেই শারীরিক মিডিয়া হারিয়ে যাওয়ার কারণে সেই তথ্যটি হারিয়ে যাওয়ার সমস্ত প্রবাহের প্রভাব পড়বে।

এবং অন্যান্য আকর্ষণীয় বিষয় হ'ল প্রচুর লোক ক্রেডিট ডেটা এবং ক্রেডিট কার্ডের তথ্যকে সর্বাধিক মূল্যবান বলে ভাবছে, তবে বাস্তবে এখন আর তা হয় না। এই ডেটাটি মূল্যবান, ক্রেডিট কার্ড নম্বরগুলি দরকারী, তবে সত্যই, এই সংখ্যাগুলি খুব দ্রুত বদলানো হয়, যেখানে মানুষের ব্যক্তিগত তথ্য খুব দ্রুত পরিবর্তন হয় না। সাম্প্রতিক সংবাদ আইটেম, তুলনামূলকভাবে সাম্প্রতিক, খেলনা প্রস্তুতকারক ভিটেকের কাছে এই খেলনা ছিল যা বাচ্চাদের জন্য ডিজাইন করা হয়েছিল। এবং লোকেরা তাদের বাচ্চার নাম রাখত, বাচ্চাগুলি কোথায় থাকে সে সম্পর্কে তাদের কাছে তথ্য থাকতে পারে, তাদের বাবা-মায়ের নাম ছিল, তাদের বাচ্চাদের ছবি ছিল। এর কোনওটিই এনক্রিপ্ট করা হয়নি, কারণ এটি গুরুত্বপূর্ণ হিসাবে বিবেচিত হয়নি। তবে তাদের পাসওয়ার্ডগুলি এনক্রিপ্ট করা ছিল। ঠিক আছে, যখন লঙ্ঘন অনিবার্যভাবে ঘটেছিল, আপনি বলছেন, "ঠিক আছে, তাই আমার কাছে বাচ্চাদের নাম, তাদের বাবা-মায়ের নাম, তারা কোথায় থাকে - এর একটি তথ্য আছে - এই সমস্ত তথ্য আছে, এবং আপনি ভেবেছেন যে পাসওয়ার্ডটি এর সবচেয়ে মূল্যবান অংশ ছিল? ”এটি ছিল না; লোকেরা তাদের ব্যক্তিগত তথ্য, তাদের ঠিকানা ইত্যাদি সম্পর্কে সেই দিকগুলি পরিবর্তন করতে পারে না এবং যাতে তথ্যটি আসলে খুব মূল্যবান হয় এবং এটি সুরক্ষিত করা দরকার।

সুতরাং, এখন চলছে এমন কিছু বিষয় নিয়ে কথা বলতে চেয়েছিল যেভাবে তথ্য লঙ্ঘন হচ্ছে সেভাবে অবদান রাখতে। বড় হটস্পটগুলির মধ্যে এখনই একটি স্পেস, সামাজিক প্রকৌশল। তাই লোকেরা এটিকে ফিশিং বলে, সেখানে ছদ্মবেশ ইত্যাদি। বলে, যেখানে লোকেরা প্রায়শই অভ্যন্তরীণ অভিনেতাদের মাধ্যমে ডেটা অ্যাক্সেস পাচ্ছে, তাদের কেবল এটি নিশ্চিত করেই যে এটির অ্যাক্সেস রয়েছে। সুতরাং, মাত্র অন্য দিন, আমাদের চারপাশে চলমান এই গুগল ডক্স কীট ছিল। এবং এটি কী হবে - এবং আমি আসলে এটির একটি অনুলিপি পেয়েছি, যদিও সৌভাগ্যবশত আমি এটিতে ক্লিক করি নি - আপনি একজন সহকর্মীর কাছ থেকে ইমেল পেয়ে যাচ্ছিলেন, “এখানে একটি গুগল ডকের লিঙ্ক; আমি সবেমাত্র আপনার সাথে কী ভাগ করেছি তা দেখার জন্য আপনার এ ক্লিক করতে হবে ”" ঠিক আছে, গুগল ডক্স ব্যবহার করা এমন একটি সংস্থায়, এটি প্রচলিত, আপনি দিনে কয়েক ডজন অনুরোধ পেয়ে যাবেন। আপনি যদি এটিতে ক্লিক করেন তবে এটি আপনাকে এই দস্তাবেজটি অ্যাক্সেস করার অনুমতি চাইতে হবে, এবং আপনি বলতে চাইবেন, "আরে, এটি কিছুটা অদ্ভুত লাগছে, তবে আপনি জানেন, এটিও বৈধ বলে মনে হচ্ছে, তাই আমি এগিয়ে যাব এবং এটিতে ক্লিক করুন, "এবং আপনি এটি করার সাথে সাথে আপনি এই সমস্ত তৃতীয় পক্ষকে আপনার সমস্ত Google নথিগুলিতে অ্যাক্সেস দিচ্ছেন, এবং তাই, Google ড্রাইভে আপনার সমস্ত নথিতে অ্যাক্সেস পাওয়ার জন্য এই বাহ্যিক অভিনেতার জন্য এই লিঙ্কটি তৈরি করা হয়েছিল। এই জায়গা জুড়ে উদ্বেগ। এটি কয়েক ঘন্টা কয়েক লক্ষ মানুষকে আঘাত করে। এবং এটি মূলত একটি ফিশিং আক্রমণ ছিল যা গুগল নিজেই বন্ধ করে দিয়েছিল, কারণ এটি খুব ভালভাবে কার্যকর হয়েছিল। লোকেরা এর জন্য পড়েছিল।

আমি এখানে স্ন্যাপচ্যাট এইচআর লঙ্ঘন উল্লেখ করছি। এটি কেবল ইমেল করার সহজ বিষয় ছিল, এইচআর বিভাগে ইমেল করে তারা প্রধান নির্বাহী কর্মকর্তা বলেছিলেন, "আমার এই স্প্রেডশিটটি আপনার আমাকে প্রেরণ করা দরকার।" তারা তাদের বিশ্বাস করেছিল, এবং তারা 700 জন কর্মচারী সহ একটি স্প্রেডশিট রেখেছিল। ক্ষতিপূরণ সম্পর্কিত তথ্য, তাদের বাড়ির ঠিকানা ইত্যাদি এটিকে অন্য পক্ষকে ইমেল করেছিল, এটি আসলে প্রধান নির্বাহী কর্মকর্তা ছিলেন না। এখন, ডেটা বাইরে ছিল এবং তাদের কর্মচারীদের সমস্ত ব্যক্তিগত, ব্যক্তিগত তথ্য সেখানে ছিল এবং শোষণের জন্য উপলব্ধ ছিল। সুতরাং, সোশ্যাল ইঞ্জিনিয়ারিং এমন একটি বিষয় যা আমি এটি ডাটাবেসের জগতে উল্লেখ করেছি, কারণ এটি এমন একটি বিষয় যা আপনি শিক্ষার মাধ্যমে প্রতিরক্ষা করার চেষ্টা করতে পারেন তবে আপনাকে কেবল মনে রাখতে হবে যে আপনি যে কোনও জায়গায় আপনার প্রযুক্তির সাথে যোগাযোগ করছেন এবং যদি আপনি আটকানো রোধ করতে তাদের সুবিচারের উপর নির্ভর করেন তবে আপনি তাদের অনেকগুলি জিজ্ঞাসা করছেন।

লোকেরা ভুল করে, লোকেরা এমন জিনিসগুলিতে ক্লিক করে যা তাদের উচিত ছিল না, লোকে চতুর ক্ষতির জন্য পড়ে। এবং এটিকে রক্ষা করার জন্য আপনি খুব চেষ্টা করতে পারেন তবে এটি যথেষ্ট শক্তিশালী নয়, আপনার ডেটাবেস সিস্টেমগুলিতে লোকেরা দুর্ঘটনাক্রমে এই তথ্য দেওয়ার ক্ষমতা সীমাবদ্ধ করার চেষ্টা করতে হবে। অন্য যে বিষয়টি আমি উল্লেখ করতে চেয়েছিলাম যে স্পষ্টতই আমরা প্রচুর কথা বলছি তা হ'ল ransomware, botnets, ভাইরাস - এই সমস্ত স্বয়ংক্রিয় পদ্ধতি। আর তাই আমি র্যানসওয়ওয়ার সম্পর্কে যা বোঝার জন্য গুরুত্বপূর্ণ বলে মনে করি তা হ'ল এটি কি আক্রমণকারীদের জন্য লাভের মডেলটি সত্যই পরিবর্তন করে। আপনি যে কোনও লঙ্ঘনের কথা বলছেন সেই ক্ষেত্রে, তাদের কিছুটা অর্থে ডেটা উত্তোলন করতে হবে এবং তা নিজের কাছে রাখতে হবে এবং এটি ব্যবহার করতে হবে। এবং যদি আপনার ডেটা অস্পষ্ট হয়, যদি এটি এনক্রিপ্ট করা হয়, যদি এটি শিল্পের নির্দিষ্ট থাকে তবে সম্ভবত তাদের এটির কোনও মূল্য নেই।

এই অবধি অবধি লোকেরা অনুভব করেছিল যে এটি তাদের জন্য সুরক্ষা ছিল, "আমাকে কোনও ডেটা লঙ্ঘন থেকে নিজেকে রক্ষা করার দরকার নেই, কারণ তারা যদি আমার সিস্টেমে প্রবেশ করতে চলেছে তবে তাদের যা যা করতে হবে সবই হ'ল, আমি ফটোগ্রাফি স্টুডিও, পরের বছর কী দিন আসবে তা নিয়ে আমার একটি তালিকা রয়েছে। কে এই সম্পর্কে যত্নশীল? "আচ্ছা, এটির উত্তরটি দেখা যাচ্ছে যে আপনি সে সম্পর্কে যত্নশীল; আপনি সেই তথ্য সংরক্ষণ করছেন, এটি আপনার ব্যবসায়িক সমালোচনামূলক তথ্য। সুতরাং, মুক্তযোদ্ধার ব্যবহার করে একজন আক্রমণকারী বলবেন, "ঠিক আছে, এর জন্য আর কেউ আমাকে টাকা দেবে না, তবে আপনিই দেবেন।" সুতরাং, তারা এই তথ্যটি উপস্থাপন করেছেন যে তাদের এমনকি ডেটা বের করতে হবে না, তারা ডন ' এমনকি কোনও লঙ্ঘন করতে হবে, তাদের কেবল আপনার বিরুদ্ধে আক্রমণাত্মক সুরক্ষা সরঞ্জাম ব্যবহার করা দরকার। তারা আপনার ডাটাবেসে প্রবেশ করে, তারা এর সামগ্রীগুলি এনক্রিপ্ট করে এবং তারপরে তারা বলে, "ঠিক আছে, আমাদের কাছে পাসওয়ার্ড রয়েছে এবং সেই পাসওয়ার্ডটি পেতে আপনাকে আমাদের $ 5, 000 দিতে হবে, অন্যথায় আপনার কাছে নেই এই তথ্য আর। "

এবং লোকেরা মূল্য পরিশোধ করে; তারা নিজেরাই এটি করতে পেল। কয়েক মাস আগে মঙ্গোডিবি এক ধরণের বিশাল সমস্যা পেয়েছিল, আমার ধারণা, এটি জানুয়ারিতে হয়েছিল, যেখানে কিছুটা ডিফল্ট সেটিংসের ভিত্তিতে রোনমওয়্যার হিট করেছে, আমি মনে করি, তারা লক্ষ লক্ষ মঙ্গোডিবি ডাটাবেজে ইন্টারনেটে প্রকাশ করেছে। এবং এটি আরও খারাপ করে দিয়েছে যে লোকেরা অর্থ প্রদান করত এবং অন্য সংস্থাগুলি এসে পুনরায় এনক্রিপ্ট করে বা দাবি করত যে এটিরাই মূলত এটি এনক্রিপ্ট করেছিল, তাই যখন আপনি আপনার অর্থ প্রদান করেছিলেন, এবং আমি মনে করি সে ক্ষেত্রে তারা ছিল 500 ডলারের মতো কিছু চাইলে লোকেরা বলত, "ঠিক আছে, আমি কী কী ভুল হয়েছে তা বুঝতে সাহায্য করার জন্য এখানে একজন গবেষককে এখানে আসার জন্য অর্থ প্রদানের চেয়ে আরও বেশি দিতে হবে। আমি কেবল $ 500 প্রদান করব। "এবং তারা এটি সঠিক অভিনেতাকে প্রদানও করছিল না, তাই তারা দশটি বিভিন্ন সংস্থার সাথে লেখা ছিল, " আমাদের পাসওয়ার্ড পেয়েছে, "বা" আমাদের কাছে রয়েছে আপনার মুক্তিপণ প্রাপ্ত ডেটা আনলক করার জন্য উপায় পেয়েছে ”" সম্ভবত এটির কাজ করার জন্য আপনাকে এগুলির সমস্তটি দিতে হবে।

এমন কিছু ঘটনাও ঘটেছে যেখানে মুক্তিপণ লেখকরা বাগ পেয়েছিলেন, আমি বলতে চাইছি আমরা এটি একেবারে উপরের বোর্ডের পরিস্থিতি হিসাবে কথা বলছি না, এমনকি একবার আক্রমণ করার পরেও একবার আপনি অর্থ প্রদান করার পরেও তার কোনও গ্যারান্টি নেই there's আপনার সমস্ত ডেটা ফিরিয়ে আনতে যাচ্ছেন, অস্ত্রযুক্ত ইনফোসেক সরঞ্জামগুলি দ্বারা এর কিছু জটিলও হচ্ছে। সুতরাং ছায়া দালালরা এমন একটি দল যা এনএসএ থেকে আসা সরঞ্জামগুলি ফাঁস করে চলেছে। তারা গুপ্তচরবৃত্তির উদ্দেশ্যে এবং প্রকৃতপক্ষে অন্যান্য সরকারী সত্তার বিরুদ্ধে কাজ করার উদ্দেশ্যে সরকারী সত্তা দ্বারা ডিজাইন করা সরঞ্জাম ছিল। এর মধ্যে কয়েকটি হ'ল হাই প্রোফাইলে শূন্য-দিনের আক্রমণ ছিল যা মূলত পরিচিত সুরক্ষা প্রোটোকলকে কেবল একপাশে ফেলে দেয়। এবং তাই এসএমবি প্রোটোকলে একটি বড় দুর্বলতা ছিল উদাহরণস্বরূপ, সাম্প্রতিক শ্যাডো ব্রোকারদের ডাম্পগুলিতে।

এবং সুতরাং এখানে আসা এই সরঞ্জামগুলি কয়েক ঘন্টা পরে আপনার আক্রমণ পৃষ্ঠের দিক থেকে সত্যই আপনার উপর গেমটি পরিবর্তন করতে পারে। সুতরাং যখনই আমি এই সম্পর্কে ভাবছি, এটি এমন কিছু যা সাংগঠনিক পর্যায়ে, সুরক্ষা ইনফোসেক তার নিজস্ব কাজ, এটি গুরুত্ব সহকারে নেওয়া দরকার। যখনই আমরা ডাটাবেসগুলির বিষয়ে কথা বলছি, আমি এটিকে কিছুটা নামিয়ে আনতে পারি, আপনাকে অবশ্যই এই সপ্তাহে ছায়া ব্রোকারদের সাথে কী চলছে সে সম্পর্কে সম্পূর্ণ ডাটাবেস অ্যাডমিনিস্ট্রেটর হিসাবে থাকা উচিত নয়, তবে আপনাকে সচেতন হওয়া দরকার যে সমস্ত এগুলির মধ্যে স্থান পরিবর্তন হচ্ছে, এমন কিছু চলছে, এবং সুতরাং আপনি নিজের ডোমেনটিকে যে ডিগ্রিটিতে আঁটসাঁট এবং সুরক্ষিত রাখেন, তা আপনাকে সত্যিকার অর্থে সাহায্য করতে চলেছে যে বিষয়গুলি আপনার অধীনে থেকে ছিন্ন হয়ে যায়।

সুতরাং, আমি এসকিউএল সার্ভার সম্পর্কে সুনির্দিষ্টভাবে কথা বলার আগে কিছুক্ষণ এখানে নিয়ে যেতে চেয়েছিলাম, ডাটাবেস সুরক্ষার সাথে কিছু বিবেচনা নিয়ে আমাদের প্যানেল সদস্যদের সাথে কিছুটা খোলামেলা আলোচনা করতে। সুতরাং, আমি এই মুহুর্তে পৌঁছেছি, কিছু বিষয় যা আমরা উল্লেখ করি নি, আমি ভেক্টর হিসাবে এসকিউএল ইঞ্জেকশন সম্পর্কে কথা বলতে চেয়েছিলাম। সুতরাং, এটি এসকিউএল ইনজেকশন, স্পষ্টতই এটি সেই পদ্ধতিতে যাতে লোকেরা একটি ডাটাবেস সিস্টেমে কমান্ডগুলি সন্নিবেশ করে, ইনপুটগুলিকে দূষিত করে।

এরিক কাভানাঘ: হ্যাঁ, আমি আসলে একজন লোকের সাথে দেখা করেছি - আমার মনে হয় এটি প্রায় অ্যান্ড্রুজ এয়ার ফোর্স বেসে ছিল - প্রায় পাঁচ বছর আগে একজন পরামর্শদাতা যে আমি তার সাথে হলওয়েতে কথা বলছিলাম এবং আমরা যুদ্ধের গল্পগুলি ভাগ করে নিচ্ছিলাম - কোন শাস্তির উদ্দেশ্য ছিল না - এবং তিনি উল্লেখ করেছিলেন যে তাকে কেউ একজন সামরিক বাহিনীর মোটামুটি উচ্চপদস্থ সদস্যের সাথে পরামর্শ করার জন্য নিয়ে এসেছিল এবং লোকটি তাকে জিজ্ঞাসা করেছিল, "আচ্ছা, আমরা কীভাবে জানি যে আপনি কী করছেন তাতে ভাল আছেন?" এবং এটি এবং সে । এবং যখন তিনি তাদের কম্পিউটারে তাদের সাথে কথা বলছিলেন, তিনি নেটওয়ার্কে প্রবেশ করতেন, তিনি সেই বেসের জন্য এবং সেই লোকগুলির ইমেল রেজিস্ট্রি পেতে এসকিউএল ইঞ্জেকশনটি ব্যবহার করেছিলেন। এবং তিনি সেই ব্যক্তির ইমেলটি পেয়েছেন যার সাথে তিনি কথা বলছিলেন এবং তিনি কেবল তার মেশিনে তার ইমেলটি দেখিয়েছিলেন! এবং লোকটির মতো ছিল, "আপনি এটি কীভাবে করেছিলেন?" তিনি বলেছিলেন, "ভাল, আমি এসকিউএল ইঞ্জেকশনটি ব্যবহার করেছি।"

সুতরাং, এটি ঠিক পাঁচ বছর আগে, এবং এটি বিমানবাহিনীর একটি বেসে ছিল, তাই না? সুতরাং, আমি বলতে চাই, প্রসঙ্গে, এই জিনিসটি এখনও খুব বাস্তব এবং এটি সত্যই ভয়ঙ্কর প্রভাব সহ ব্যবহার করা যেতে পারে। আমি বলতে চাইছি, রবিন এই বিষয়ে যে কোনও যুদ্ধ কাহিনী সম্পর্কে জানতে আগ্রহী হবেন, তবে এই সমস্ত কৌশল এখনও বৈধ। এগুলি এখনও অনেক ক্ষেত্রে ব্যবহৃত হয়, এবং এটি নিজেকে শিক্ষিত করার প্রশ্ন, তাই না?

রবিন ব্লুর: আচ্ছা, হ্যাঁ হ্যাঁ, কাজটি করে এসকিউএল ইঞ্জেকশনের বিরুদ্ধে রক্ষা করা সম্ভব। এটা বোঝা সহজ যে কেন যখন ধারণাটি আবিষ্কার হয়েছিল এবং প্রথম প্রসারিত হয়েছিল, তখন কেন এটি এত তুচ্ছ সফল হয়েছিল তা বোঝা সহজ, কারণ আপনি কেবল এটি কোনও ওয়েব পৃষ্ঠায় একটি ইনপুট ক্ষেত্রে আটকে রাখতে পারেন এবং এটি আপনার জন্য ডেটা ফেরত পেতে, বা পেতে পারেন এটি ডাটাবেস, বা যে কোনও কিছুর ডেটা মুছতে পারে - এটি করতে আপনি কেবল এসকিউএল কোডটি ইনজেক্ট করতে পারেন। তবে এটি আমার আগ্রহী বিষয়টি হ'ল এটিই আপনি জানেন, প্রবেশ করা প্রতিটি ডাটাতে আপনাকে কিছুটা পার্সিং করতে হবে, তবে কারও চেষ্টা করার চেষ্টা করা সম্ভব। এবং এটি সত্যই, আমি মনে করি এটিই সত্যই, 'কারণ লোকেরা এখনও এটিকে দূরে সরিয়ে দেয়, আমি বলতে চাইছি এটি সত্যিই আশ্চর্যের বিষয় যে এর বিরুদ্ধে লড়াই করার সহজ উপায় আর ছিল না। আপনি জানেন যে প্রত্যেকে সহজেই ব্যবহার করতে পারে, আমি বলতে চাই, যতদূর আমি জানি, ভিকি সেখানে ছিল না?

ভিকি হার্প: ওয়েল, এসকিউএল আউজুরের মতো জিম্মি সমাধানের কিছু সমাধান আসলে আমার মনে হয় মেশিন লার্নিংয়ের উপর ভিত্তি করে বেশ কয়েকটি ভাল সনাক্তকরণ পদ্ধতি রয়েছে। এটি সম্ভবত আমরা ভবিষ্যতে দেখতে যাচ্ছি, এটি এমন এক জিনিস যা এটি এক আকারের সাথে পুরোপুরি ফিট করে। আমি মনে করি উত্তরটি একটি মাপের সাথে পুরো মাপসই হয় না, তবে আমাদের কাছে এমন মেশিন রয়েছে যা আপনার আকার কী তা শিখতে পারে এবং নিশ্চিত করতে পারে যে আপনি এটি ঠিক ফিট করছেন, তাই না? এবং যাতে আপনার যদি কোনও মিথ্যা ইতিবাচক থাকে তবে এটি কারণ আপনি প্রকৃতপক্ষে অস্বাভাবিক কিছু করছেন, এটি এমন নয় যে আপনার অ্যাপ্লিকেশনটি যা করতে পারে তার সবই আপনাকে কঠোর পরিশ্রমের মধ্য দিয়ে যেতে হয়েছিল st

আমি মনে করি এটি সত্যিই এখনও এত প্রসারিত হওয়ার একটি কারণ হ'ল লোকেরা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে এবং আইএসভিগুলির অ্যাপ্লিকেশনগুলির উপর নির্ভর করে এবং সেগুলি সময়ের সাথে সাথে সংঘটিত হয়। সুতরাং, আপনি এমন একটি প্রতিষ্ঠানের কথা বলছেন যা 2001 সালে লেখা একটি ইঞ্জিনিয়ারিং অ্যাপ্লিকেশন কিনেছিল And এবং তারা এটি আপডেট করেনি, কারণ তখন থেকে কোনও বড় কার্যকরী পরিবর্তন হয়নি, এবং এর মূল লেখক ছিলেন একরকম, তারা ইঞ্জিনিয়ার ছিল না, তারা ডাটাবেস সুরক্ষা বিশেষজ্ঞ ছিল না, তারা অ্যাপ্লিকেশনটিতে সঠিক উপায়ে কাজ করে নি এবং তারা ভেক্টর হয়ে গেছে। আমার বোঝাপড়াটি হ'ল - আমি মনে করি এটি টার্গেট ডেটা লঙ্ঘন, সত্যই বড় একটি - আক্রমণকারী ভেক্টর তাদের শীতাতপ নিয়ন্ত্রণ সরবরাহকারীদের মধ্য দিয়ে একজন ছিল, তাই না? সুতরাং, এই তৃতীয় পক্ষের সাথে সমস্যাটি, আপনি যদি নিজের নিজস্ব বিকাশের দোকানে মালিক হন তবে আপনার সম্ভবত এই নিয়মগুলির কয়েকটি থাকতে পারে, যখনই তা উদারভাবে করা। একটি সংস্থা হিসাবে আপনার বিভিন্ন বিভিন্ন প্রোফাইল সহ কয়েক হাজার বা হাজার হাজার অ্যাপ্লিকেশন চলতে পারে। আমি মনে করি সেখানেই মেশিন লার্নিংটি আসতে চলেছে এবং আমাদের অনেক সাহায্য করা শুরু করবে।

আমার যুদ্ধের গল্পটি ছিল শিক্ষামূলক জীবনযাপন। আমি একটি এসকিউএল ইঞ্জেকশন আক্রমণ দেখতে পেয়েছি এবং এমন কিছু যা আমার কাছে কখনও ঘটেনি তা হ'ল সাধারণ পঠনযোগ্য এসকিউএল ব্যবহার করুন। আমি অবহেলিত পি এসকিউএল হলিডে কার্ড নামে এই জিনিসগুলি করি; আমি করতে চাই, আপনি এই এসকিউএলটিকে যতটা সম্ভব বিভ্রান্ত দেখায়। বেশ কয়েক দশক ধরে চলমান সি ++ কোড প্রতিযোগিতা রয়েছে এবং এটি একই ধরণের ধারণা। সুতরাং, আপনি আসলে যা পেয়েছিলেন তা এসকিউএল ইনজেকশন যা একটি উন্মুক্ত স্ট্রিং ফিল্ডে ছিল, এটি স্ট্রিংটি বন্ধ করে দিয়েছে, এটি সেমিকোলনে রেখেছিল, এবং তারপরে এটি এক্সিকিউট কমান্ডে রেখেছিল যে তারপরে একটি সংখ্যা ছিল এবং তারপরে এটি মূলত ব্যবহার করা হয়েছিল numbers নম্বরগুলিকে বাইনারিতে কাস্ট করার জন্য কাস্টিং কমান্ড এবং তারপরে অক্ষর মানগুলিতে এবং পরে এটি কার্যকর করে uting সুতরাং, এটি এমন নয় যে আপনি এমন কিছু দেখতে পেয়েছিলেন যা বলেছিল, "উত্পাদন টেবিল থেকে প্রারম্ভটি মুছুন, " এটি আসলে এমন সংখ্যাসূচক ক্ষেত্রগুলিতে স্টাফ করা হয়েছিল যা এটি দেখতে আরও শক্ত করে তোলে। এমনকি একবার আপনি এটি দেখেছেন, কী ঘটছে তা সনাক্ত করতে, এটি কিছু সত্যিকারের এসকিউএল শট লাগল, যা ঘটছিল তা অনুধাবন করতে সক্ষম হতে, কোন সময় অবশ্যই কাজটি ইতিমধ্যে সম্পন্ন হয়েছিল।

রবিন ব্লুর: এবং হ্যাকিংয়ের পুরো পৃথিবীতে একটি বিষয় যা হ'ল কোনও যদি দুর্বলতা খুঁজে পায় এবং এটি সাধারণত বিক্রি হওয়া একটি সফ্টওয়্যারের অংশে ঘটে থাকে তবে আপনি জানেন যে প্রাথমিক সমস্যাগুলির মধ্যে একটি হ'ল ডাটাবেস ইনস্টল করার সময় আপনাকে যে ডাটাবেস পাসওয়ার্ডটি দেওয়া হয়েছিল, বাস্তবে প্রচুর ডাটাবেস ছিল কেবল একটি ডিফল্ট। এবং প্রচুর ডিবিএ কেবল কখনও এটিকে পরিবর্তন করে না, এবং সেই কারণে আপনি তখন নেটওয়ার্কে প্রবেশ করতে পারবেন; আপনি কেবল সেই পাসওয়ার্ডটি চেষ্টা করতে পারেন এবং যদি এটি কাজ করে তবে ভাল, আপনি কেবল লটারি জিতেছেন। এবং মজার বিষয় হ'ল ডারনেট ওয়েবসাইটগুলিতে হ্যাকিং সম্প্রদায়ের মধ্যে সেই সমস্ত তথ্য খুব দক্ষ ও কার্যকরভাবে প্রচারিত। এবং তারা জানেন। সুতরাং, তারা সেখানে যা রয়েছে তার পুরোপুরি পরিবর্তন করতে পারে, কয়েকটি উদাহরণ খুঁজে পেতে পারে এবং স্বয়ংক্রিয়ভাবে কিছু হ্যাকিং এটিকে কাজে লাগাতে পারে এবং তারা এতে উপস্থিত হয় And এবং আমি মনে করি, কমপক্ষে যারা আছেন এমন অনেক লোক এই সমস্তগুলির পরিধি, হ্যাকিং নেটওয়ার্ক দুর্বলতার পক্ষে কতটা দ্রুত প্রতিক্রিয়া জানায় তা আসলে বুঝতে পারছেন না।

ভিকি হার্প: হ্যাঁ, এটি এগিয়ে যাওয়ার আগে আমি আরেকটি বিষয় উল্লেখ করতে চাইছিলাম যা প্রমাণ করার জন্য এই ধারণাটি ছিল, যা এমন একটি বিষয় যা প্রচুর পরিমাণে পপ আপ করছে, যা হ'ল একবার আপনার প্রমাণপত্রাদি কারও কারও জন্য চুরি হয়ে গেছে that যে কোনও সাইটে, সেই শংসাপত্রগুলি বোর্ড জুড়ে পুনরায় ব্যবহারের চেষ্টা করা হবে। সুতরাং, আপনি যদি সদৃশ পাসওয়ার্ড ব্যবহার করে থাকেন তবে বলুন, আপনার ব্যবহারকারীরা যদি এমন হয় তবে এমনকি এটি সেভাবেই রাখুন, কেউ কোনও শংসাপত্রের সম্পূর্ণ বৈধ সেট বলে মনে হয় তার মাধ্যমে অ্যাক্সেস পেতে সক্ষম হতে পারে। সুতরাং, আসুন আমরা বলি যে আমি আমার একই পাসওয়ার্ডটি আমাজনে এবং আমার ব্যাঙ্কে এবং একটি ফোরামে এবং সেই ফোরাম সফ্টওয়্যার হ্যাক করেছিলাম, ভাল, তাদের কাছে আমার ব্যবহারকারীর নাম এবং আমার পাসওয়ার্ড রয়েছে। এবং তারপরে তারা একই ব্যবহারকারীর নাম অ্যামাজনে ব্যবহার করতে পারে বা তারা ব্যাঙ্কে এটি ব্যবহার করতে পারে। এবং যতদূর ব্যাঙ্ক সম্পর্কিত, এটি ছিল সম্পূর্ণ বৈধ লগইন। এখন, আপনি সম্পূর্ণ অনুমোদিত অ্যাক্সেসের মাধ্যমে ঘৃণ্য পদক্ষেপ নিতে পারেন।

সুতরাং, সেই ধরণের আবার অভ্যন্তরীণ লঙ্ঘন এবং অভ্যন্তরীণ ব্যবহার সম্পর্কে আমি যা বলছিলাম তা ফিরে যায়। যদি আপনি আপনার প্রতিষ্ঠানের লোকদের খুঁজে পেয়েছেন যা তারা বাহ্যিক অ্যাক্সেসের জন্য অভ্যন্তরীণ অ্যাক্সেসের জন্য তাদের একই পাসওয়ার্ড ব্যবহার করে থাকে তবে আপনি সম্ভবত এমন কোনও সম্ভাবনা পেয়ে গেছেন যে কেউ আপনাকে প্রবেশ করবে এবং অন্য কোনও সাইটে লঙ্ঘনের মাধ্যমে আপনাকে নকল করবে that এমনকি জানিনা। এবং এই তথ্য খুব দ্রুত ছড়িয়ে দেওয়া হয়। এর তালিকাগুলি রয়েছে, আমি মনে করি ট্রয় হান্টের দ্বারা "আমাকে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে চাপ দেওয়া হয়েছে", তিনি বলেছিলেন যে তার কাছে অর্ধ বিলিয়ন শংসাপত্র রয়েছে, যা হ'ল - আপনি যদি গ্রহের মানুষের সংখ্যা বিবেচনা করেন - তবে এটি একটি সত্যিকারের প্রচুর শংসাপত্র যা শংসাপত্রের স্টাফিংয়ের জন্য উপলব্ধ করা হয়েছে।

সুতরাং, আমি কিছুটা গভীর থেকে পদক্ষেপ নেব এবং এসকিউএল সার্ভারের সুরক্ষা সম্পর্কে কথা বলব। এখন আমি বলতে চাই যে আপনি পরবর্তী 20 মিনিটের মধ্যে আপনার এসকিউএল সার্ভারটি সুরক্ষিত করার জন্য আপনাকে যা জানা দরকার তা দেওয়ার জন্য আমি যাচ্ছি না; এটি একটি লম্বা ক্রম কিছুটা মনে হয়। সুতরাং, এমনকি শুরু করার জন্য, আমি বলতে চাই যে অনলাইনে এমন কয়েকটি গ্রুপ এবং সংস্থান রয়েছে যা আপনি অবশ্যই গুগল করতে পারেন, বই রয়েছে, মাইক্রোসফ্টে সেরা অনুশীলনের নথি রয়েছে, এসকিউএল সার্ভারে পেশাদার সহযোগীদের জন্য একটি সুরক্ষা ভার্চুয়াল অধ্যায় রয়েছে, তারা নিরাপত্তা.পাস.আরোগ.আর.এ রয়েছে এবং আমার বিশ্বাস, মাসিক ওয়েবকাস্ট এবং ওয়েবকাস্টের রেকর্ডিংগুলি এসকিউএল সার্ভার সুরক্ষাটি কীভাবে করা যায় তা গভীরভাবে করা যায়। তবে এগুলি এমন কিছু বিষয় যা আমি আপনাকে ডেটা পেশাদার হিসাবে, আইটি পেশাদার হিসাবে, ডিবিএ হিসাবে বলছি, আমি চাই আপনাকে এসকিউএল সার্ভারের সুরক্ষা সম্পর্কে জেনে রাখা উচিত।

সুতরাং প্রথমটি হচ্ছে শারীরিক সুরক্ষা। সুতরাং, যেমনটি আমি আগে বলেছিলাম, শারীরিক মিডিয়া চুরি করা এখনও অত্যন্ত সাধারণ। এবং তাই আমি যে দৃশ্যটি দেব মেশিনের সাথে দিয়েছি, সেই ডেভ মেশিনে আপনার ডাটাবেসের একটি অনুলিপি যা চুরি হয়ে যায় - এটি একটি অত্যন্ত সাধারণ ভেক্টর, এটি একটি ভেক্টর যা আপনাকে সচেতন হতে হবে এবং এর বিরুদ্ধে পদক্ষেপ নেওয়ার চেষ্টা করা উচিত। ব্যাকআপ সুরক্ষার জন্যও এটি সত্য, সুতরাং আপনি যখনই নিজের ডেটা ব্যাক আপ করবেন তখন আপনাকে এটিকে এনক্রিপ্ট করে ব্যাক আপ করা দরকার, আপনাকে কোনও সুরক্ষিত স্থানে ব্যাক আপ করা দরকার। এই ডেটাটি যা ডেটাবেজে সত্যই সুরক্ষিত ছিল তার অনেক সময়, এটি টেস্ট মেশিনগুলিতে, ডিভাইসগুলির মাধ্যমে পেরিফেরি জায়গাগুলিতে প্রবেশ করা শুরু করার সাথে সাথে, আমরা প্যাচিংয়ের বিষয়ে কিছুটা কম যত্নশীল হই, আমরা কিছুটা কম পাই এর অ্যাক্সেস রয়েছে এমন লোকদের সম্পর্কে সাবধানতা অবলম্বন করুন। পরবর্তী জিনিস আপনি জানেন, আপনি আপনার প্রতিষ্ঠানের একটি জনসাধারণের শেয়ারে অনেকগুলি লোকের কাছ থেকে শোষণের জন্য উপলব্ধ এনক্রিপ্ট করা ডাটাবেস ব্যাকআপ পেয়েছেন। সুতরাং, শারীরিক সুরক্ষার কথা চিন্তা করুন এবং ঠিক তেমন সহজ, কেউ কি আপনার সার্ভারে একটি ইউএসবি কী লাগাতে পারে? আপনি যে অনুমতি দেওয়া উচিত নয়।

পরবর্তী আইটেমটি আমি আপনাকে প্ল্যাটফর্ম সুরক্ষা, তাই আপ-টু-ডেট ওএস, আপ টু ডেট প্যাচগুলি সম্পর্কে ভাবতে চাই। লোকেরা উইন্ডোজের পুরানো সংস্করণগুলিতে, এসকিউএল সার্ভারের পুরানো সংস্করণগুলিতে থাকার বিষয়ে কথা শুনে খুব ক্লান্তিকর বলে মনে করে যে, খেলার একমাত্র ব্যয় হ'ল লাইসেন্সিং আপগ্রেডের ব্যয়, যা এটি নয়। আমরা সুরক্ষার সাথে আছি, এটি একটি স্রোত যা পাহাড়ের উপর দিয়ে যেতে থাকে এবং সময় যতই যায়, আরও শোষণের সন্ধান পাওয়া যায়। এই ক্ষেত্রে মাইক্রোসফ্ট এবং অন্যান্য গোষ্ঠীগুলি যেমন হতে পারে, তারা পুরানো সিস্টেমগুলিকে এক পর্যায়ে আপডেট করবে এবং শেষ পর্যন্ত তারা সমর্থন ছাড়বে এবং তারা সেগুলি আর আপডেট করবে না, কারণ এটি কেবল একটি শেষ না হওয়া প্রক্রিয়া process রক্ষণাবেক্ষণ।

এবং তাই, আপনাকে একটি সমর্থিত ওএসে থাকা প্রয়োজন এবং আপনার প্যাচগুলিতে আপ টু ডেট হওয়া দরকার এবং আমরা সম্প্রতি শ্যাডো ব্রোকারদের মতোই পেয়েছি, কিছু ক্ষেত্রে মাইক্রোসফ্টের আগত বড় বড় সুরক্ষা লঙ্ঘনের বিষয়ে অন্তর্দৃষ্টি থাকতে পারে প্রকাশের পূর্বে জনসম্মুখে প্রকাশ করা হচ্ছে, সুতরাং নিজেকে ক্রমশ বিচলিত হতে দেবেন না। আমি বরং ডাউনটাইম নেব না, বরং অপেক্ষা করুন এবং তাদের প্রত্যেকটি পড়ুন এবং সিদ্ধান্ত নেবেন। কেন এই প্যাচটি ঘটেছিল তা জানতে পেরে কয়েক সপ্তাহ অবধি লাইনের নিচে নামার অবধি আপনি কী জানেন না। সুতরাং, যে শীর্ষে থাকুন।

আপনার ফায়ারওয়ালটি কনফিগার করা উচিত। এটি এসএনবি লঙ্ঘনের ক্ষেত্রে হতবাক হয়েছিল যে ফায়ারওয়ালটি ইন্টারনেটের জন্য পুরোপুরি উন্মুক্ত হয়ে কত লোক এসকিউএল সার্ভারের পুরানো সংস্করণগুলি চালাচ্ছিল, তাই যে কেউ তাদের সার্ভারের সাথে যা খুশি তাই করতে পারে could আপনার ফায়ারওয়াল ব্যবহার করা উচিত। আপনার ব্যবসাটি যেভাবে আপনি করছেন তার জন্য আপনাকে নিয়মিতভাবে কনফিগার করতে হবে বা নির্দিষ্ট ব্যতিক্রম করতে হবে তা হ'ল অর্থ প্রদানের একটি ঠিক দাম। আপনার ডাটাবেস সিস্টেমগুলিতে আপনার পৃষ্ঠের ক্ষেত্রটি নিয়ন্ত্রণ করতে হবে - আপনি কি একই মেশিনে আইআইএসের মতো পরিষেবা বা ওয়েব সার্ভার সহ-ইনস্টল করছেন? আপনার ডেটাবেস এবং আপনার ব্যক্তিগত ডেটা হিসাবে একই মেমরি স্পেস ভাগ করে একই ডিস্ক স্পেস ভাগ করা? এটি না করার চেষ্টা করুন, এটিকে বিচ্ছিন্ন করার চেষ্টা করুন, পৃষ্ঠের ক্ষেত্রটি ছোট রাখুন, যাতে ডাটাবেসের শীর্ষে যে সমস্ত সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য আপনাকে এতটা চিন্তা করতে হবে না। আপনি শারীরিকভাবে এগুলি পৃথক করতে পারেন, প্ল্যাটফর্ম, এগুলি আলাদা করতে পারেন, নিজেকে সামান্য প্রশ্বাসের ঘর দিতে পারেন।

আপনার সমস্ত ডেটাতে অ্যাক্সেস রাখতে সক্ষম হয়ে সর্বত্র আপনার কাছে সুপার অ্যাডমিনদের চলমান থাকা উচিত নয়। ওএস অ্যাডমিন অ্যাকাউন্টগুলির অগত্যা আপনার এনক্রিপশনের মাধ্যমে আপনার ডাটাবেস, বা ডাটাবেসে অন্তর্নিহিত ডেটা অ্যাক্সেসের প্রয়োজন নেই, যা আমরা এক মিনিটের মধ্যে আলোচনা করব। এবং ডাটাবেস ফাইলগুলিতে অ্যাক্সেসের জন্য আপনাকে এটিও সীমাবদ্ধ করতে হবে। এটি নির্বোধ ধরনের যদি আপনি বলতে হয়, ভাল, কেউ ডাটাবেস মাধ্যমে এই ডাটাবেস অ্যাক্সেস করতে পারবেন না; এসকিউএল সার্ভার নিজেই তাদের এটিকে অ্যাক্সেস করার অনুমতি দেবে না, তবে যদি তারা ঘুরতে পারে তবে প্রকৃত এমডিএফ ফাইলের একটি অনুলিপি নিতে পারে, কেবল এটিকে সরানো যায়, এটি তাদের নিজস্ব এসকিউএল সার্ভারের সাথে সংযুক্ত করুন, আপনি সত্যিই খুব সফল হন নি অনেক।

এনক্রিপশন, সুতরাং এনক্রিপশন হ'ল বিখ্যাত দ্বিমুখী তরোয়াল। অনেকগুলি এনক্রিপশন রয়েছে যা আপনি ওএস স্তরে করতে পারেন এবং এসকিউএল এবং উইন্ডোজের জন্য কাজ করার সমসাময়িক পদ্ধতিতে বিটলকার এবং ডাটাবেস স্তরে একে টিডিই বা স্বচ্ছ ডেটা এনক্রিপশন বলা হয়। সুতরাং, আপনার ডেটা বিশ্রামে এনক্রিপ্ট করা ধরণের এই দুটি উপায়। আপনি যদি আরও ডেটা এনক্রিপ্ট করে আরও ব্যাপকভাবে রাখতে চান তবে আপনি এনক্রিপ্ট করতে পারেন - দুঃখিত, আমি এক ধরণের এগিয়ে এসেছি। আপনি এনক্রিপ্টযুক্ত সংযোগগুলি করতে পারেন যাতে এটি যখনই ট্রানজিটে থাকে, তখনও এটি এনক্রিপ্ট থাকে যাতে কেউ যদি শুনছে বা আক্রমণে মাঝখানে কোনও লোক থাকে, আপনি তারের উপর দিয়ে সেই ডেটাটির কিছুটা সুরক্ষা পেয়েছেন। আপনার ব্যাকআপগুলি এনক্রিপ্ট করা দরকার, যেমন আমি বলেছিলাম যে এগুলি অন্যের কাছে অ্যাক্সেসযোগ্য হতে পারে এবং তারপরে, আপনি যদি এটি স্মৃতিতে এবং ব্যবহারের সময় এনক্রিপ্ট করতে চান তবে আমাদের কাছে কলাম এনক্রিপশন পেয়েছে এবং এসকিউএল ২০১QL-এর এই ধারণাটি সর্বদা এনক্রিপ্ট করা হয়েছে "যেখানে এটি আসলে ডিস্কে এনক্রিপ্ট করা হয়, মেমরিতে, তারে থাকে, অ্যাপ্লিকেশনটিতে যে সমস্ত উপায়ে ডেটা ব্যবহার করে তা প্রকৃতপক্ষে।

এখন, এই সমস্ত এনক্রিপশনটি নিখরচায় নয়: সিপিইউ ওভারহেড রয়েছে, কখনও কখনও কলাম এনক্রিপশন এবং সর্বদা এনক্রিপ্ট করা ক্ষেত্রে থাকে that তথ্যটি সন্ধান করার আপনার দক্ষতার ক্ষেত্রে পারফরম্যান্সের উপর জড়িত। তবে, এই এনক্রিপশনটি যদি এটি যথাযথভাবে একসাথে রাখা হয় তবে এর অর্থ হ'ল যদি কেউ আপনার ডেটাতে অ্যাক্সেস পেতে থাকে তবে ক্ষতির পরিমাণটি হ্রাস করা হয়, কারণ তারা এটি পেতে সক্ষম হয়েছিল এবং তারপরে তারা এটি দিয়ে কিছুই করতে সক্ষম হয় না। যাইহোক, এইভাবে র্যানসওয়ওয়ারটি যেভাবে কাজ করে তা হ'ল যে কেউ নিজের শংসাপত্র বা নিজস্ব পাসওয়ার্ড সহ এই আইটেমগুলি চালু করে এবং এটিতে আপনার অ্যাক্সেস নেই। সুতরাং, এটি নিশ্চিত করা গুরুত্বপূর্ণ যে আপনি এটি করছেন এবং আপনার এতে অ্যাক্সেস রয়েছে তবে আপনি এটি দিচ্ছেন না, অন্যদের এবং আক্রমণকারীদের জন্য উন্মুক্ত করুন।

এবং তারপরে, সুরক্ষা নীতিগুলি - আমি এই পয়েন্টটি বেলবোর করব না, তবে নিশ্চিত হয়ে নিন যে আপনার প্রত্যেক ব্যবহারকারীর এসকিউএল সার্ভারে সুপার অ্যাডমিন হিসাবে চলমান না। আপনার বিকাশকারীরা এটি চাইতে পারে, বিভিন্ন ব্যবহারকারী এটি চাইতে পারে - স্বতন্ত্র আইটেমগুলির জন্য অ্যাক্সেসের জন্য জিজ্ঞাসা করে তারা হতাশ - তবে আপনাকে এটি সম্পর্কে কঠোর প্রচেষ্টা করা দরকার, এবং যদিও এটি আরও জটিল হতে পারে তবে অবজেক্টগুলিতে অ্যাক্সেস দিতে এবং চলমান কাজের জন্য বৈধ যে ডাটাবেসগুলি এবং স্কীমাগুলি, এবং একটি বিশেষ কেস রয়েছে, সম্ভবত এর অর্থ একটি বিশেষ লগইন, এটি সাধারণ ক্ষেত্রে ব্যবহারকারীর পক্ষে অধিকারের উচ্চতা বোঝায় না।

এবং তারপরে, নিয়ন্ত্রক সম্মতি সংক্রান্ত বিবেচনা রয়েছে যা এইগুলিতে ডুবে যায় এবং কিছু ক্ষেত্রে প্রকৃতপক্ষে তাদের নিজস্ব উপায়ে চলে যেতে পারে - সুতরাং হিপএ, সক্স, পিসিআই রয়েছে - এই সমস্ত ভিন্ন বিবেচনা রয়েছে। এবং যখন আপনি একটি নিরীক্ষণের মাধ্যমে যান, আপনি প্রত্যাশিত হয়ে যাবেন যে আপনি এটি মেনে চলতে পদক্ষেপ নিচ্ছেন। এবং তাই, এটি ট্র্যাক করে রাখার মতো অনেক কিছুই, আমি ডিবিএ করণীয় তালিকা হিসাবে বলব, আপনি সুরক্ষা শারীরিক এনক্রিপশন কনফিগারেশনটি নিশ্চিত করার চেষ্টা করছেন, আপনি যে ডেটাতে অ্যাক্সেস নিরীক্ষণ হচ্ছে তা নিশ্চিত করার চেষ্টা করছেন আপনার সম্মতিমূলক উদ্দেশ্যে, আপনার সংবেদনশীল কলামগুলি নিশ্চিত করে যে সেগুলি কী, কোথায় সেগুলি, কোনটি আপনাকে এনক্রিপ্ট করা এবং অ্যাক্সেস দেখতে হবে তা নিশ্চিত করে। এবং কনফিগারেশনগুলি আপনি যে নিয়ন্ত্রক নির্দেশিকাগুলির সাপেক্ষে সেগুলির সাথে সারিবদ্ধ রয়েছে তা নিশ্চিত করে। এবং জিনিসগুলি পরিবর্তিত হওয়ার সাথে সাথে আপনাকে এগুলি সব আপ টু ডেট রাখতে হবে।

সুতরাং, এটি করার মতো অনেক কিছুই, এবং তাই যদি আমি এটি কেবল সেখানে রেখে যাই তবে আমি বলব যে এটি কর। তবে এর জন্য অনেকগুলি আলাদা সরঞ্জাম রয়েছে এবং তাই, আমি যদি কয়েক মিনিটের মধ্যে থাকতে পারি তবে আমি আপনাকে এর জন্য আইডেরায় থাকা কয়েকটি সরঞ্জাম আপনাকে দেখাতে চাইছিলাম। এবং আজ আমি যে দুটি বিষয়ে কথা বলতে চাইছিলাম তারা হলেন এসকিউএল সিকিউর এবং এসকিউএল কমপ্লায়েন্স ম্যানেজার। এসকিউএল সিকিউর হ'ল আমাদের কনফিগারেশনের দুর্বলতাগুলি সনাক্ত করতে সহায়তা করার সরঞ্জাম। আপনার সুরক্ষা নীতি, আপনার ব্যবহারকারীর অনুমতি, আপনার পৃষ্ঠতল অঞ্চল কনফিগারেশন। এবং এতে আপনাকে বিভিন্ন নিয়ামক কাঠামো মেনে চলতে সহায়তা করার জন্য টেমপ্লেট রয়েছে। এটি স্বয়ংক্রিয়ভাবে, সেই শেষ লাইনটি লোকেরা এটি বিবেচনা করার কারণ হতে পারে। কারণ এই বিভিন্ন বিধিবিধানগুলি পড়ার এবং সেগুলির অর্থ কী তা সনাক্তকরণ, পিসিআই এবং তারপরে আমার দোকানটিতে আমার এসকিউএল সার্ভারে নেমে যাওয়া, এটি অনেক কাজ। এটি এমন কিছু যা আপনি করার জন্য প্রচুর পরামর্শের অর্থ প্রদান করতে পারেন; আমরা গিয়েছিলাম এবং এই পরামর্শ নিয়েছি, আমরা বিভিন্ন অডিটিং সংস্থাগুলি, ইত্যাদির সাথে কাজ করেছি those টেমপ্লেটগুলি কী - তা এমন কিছু রয়েছে যা যদি এই জায়গায় থাকে তবে অডিট পাস করার সম্ভাবনা রয়েছে। এবং তারপরে আপনি temp টেমপ্লেটগুলি ব্যবহার করতে পারেন এবং সেগুলি আপনার পরিবেশে দেখতে পারেন।

এসকিউএল কমপ্লায়েন্স ম্যানেজার আকারে আমাদের কাছে আরও একটি বোন সরঞ্জাম রয়েছে এবং এসকিউএল সিকিওরটি কনফিগারেশন সেটিংস সম্পর্কে। এসকিউএল কমপ্লায়েন্স ম্যানেজার কাদের দ্বারা কখন কী করা হয়েছিল তা দেখার বিষয়। সুতরাং, এটি নিরীক্ষণ করছে, সুতরাং এটি আপনাকে ক্রিয়াকলাপটি ঘটছে তা নিরীক্ষণ করার অনুমতি দেয় এবং আপনাকে কে জিনিসগুলি অ্যাক্সেস করছে তা সনাক্ত এবং ট্র্যাক করতে দেয়। প্রোটোটাইপিকাল উদাহরণটি কি আপনার হাসপাতালের একজন সেলিব্রিটি চেক করা হয়েছিল, কেউ কি কেবল কৌতুহলের বাইরে গিয়ে তাদের তথ্য অনুসন্ধান করছে? তাদের কি এমন করার কোনও কারণ ছিল? আপনি নিরীক্ষণের ইতিহাসটি একবার দেখে নিতে পারেন যে কী চলছে, কে এই রেকর্ডগুলি অ্যাক্সেস করছে। সংবেদনশীল কলামগুলি সনাক্ত করতে আপনাকে সহায়তা করার জন্য এই সরঞ্জামগুলি সনাক্ত করতে পারেন, সুতরাং আপনার নিজেরাই পড়তে হবে এবং এটি নিজেই করতে হবে না।

সুতরাং, যদি আমি করতে পারি তবে আমি এই কয়েক মিনিটের মধ্যে এখানে এগিয়ে যেতে এবং সেগুলির কয়েকটি প্রদর্শন করতে যাচ্ছি - এবং দয়া করে এটিকে একটি গভীর-ডেমো হিসাবে বিবেচনা করবেন না। আমি একটি প্রোডাক্ট ম্যানেজার, বিক্রয় প্রকৌশলী নই, তাই আমি আপনাকে এই আলোচনার সাথে প্রাসঙ্গিক বলে মনে করি এমন কিছু বিষয় আপনাকে দেখাতে যাচ্ছি। সুতরাং, এটি আমাদের এসকিউএল সুরক্ষিত পণ্য। এবং আপনি এখানে দেখতে পাচ্ছেন, আমি এই ধরনের উচ্চ-স্তরের রিপোর্ট কার্ড পেয়েছি। আমি এটাকে দৌড়েছি, আমি গতকাল বলেছি। এবং এটি আমাকে এমন কিছু জিনিস দেখায় যা সঠিকভাবে সেট আপ করা হয়নি এবং কিছু জিনিস যা সঠিকভাবে সেট আপ করা হয়েছে। সুতরাং, আপনি দেখতে পাচ্ছেন যে এখানে প্রায় 100 টিরও বেশি বিভিন্ন চেক রয়েছে। এবং আমি দেখতে পাচ্ছি যে আমার যে ব্যাকআপগুলি করছি তা আমার ব্যাকআপ এনক্রিপশন, আমি ব্যাকআপ এনক্রিপশন ব্যবহার করিনি। আমার এসএ অ্যাকাউন্টটি, স্পষ্টভাবে "এসএ অ্যাকাউন্ট" নামে নাম অক্ষম করা বা নাম পরিবর্তন করা যায় না। সর্বজনীন সার্ভারের ভূমিকার অনুমতি রয়েছে, সুতরাং এগুলি হ'ল এমন জিনিস যা আমি পরিবর্তন করতে চাই।

আমি এখানে পলিসি সেট আপ করেছি, সুতরাং যদি আমি আমার সার্ভারগুলিতে প্রয়োগ করতে একটি নতুন নীতি সেট আপ করতে চাই, তবে আমরা এই সমস্ত বিল্ট-ইন পলিসি পেয়েছি। সুতরাং, আমি একটি বিদ্যমান নীতি টেম্পলেট ব্যবহার করব এবং আপনি দেখতে পাচ্ছেন যে আমার কাছে সিআইএস, এইচআইপিএ, পিসিআই, এসআর রয়েছে এবং চলছে এবং আমরা ক্ষেত্রের ক্ষেত্রে প্রয়োজনীয় জিনিসগুলির ভিত্তিতে আমরা ক্রমাগত অতিরিক্ত নীতি যুক্ত করার প্রক্রিয়াতে চলেছি । এবং আপনি একটি নতুন নীতিও তৈরি করতে পারেন, সুতরাং আপনার অডিটর কী খুঁজছেন তা যদি আপনি জানেন তবে আপনি নিজেই এটি তৈরি করতে পারেন। এবং তারপরে, যখন আপনি এটি করেন, আপনি এই বিভিন্ন সেটিংসের মধ্যে সমস্তটি বেছে নিতে পারেন, যা আপনার সেট করা দরকার, কিছু ক্ষেত্রে আপনার কাছে কিছু আছে - আমাকে ফিরে যেতে দিন এবং প্রাক-নির্মিত একটি খুঁজে পেতে পারেন। এটি সুবিধাজনক, আমি চয়ন করতে পারি, বলতে পারি, হিপ্যা - আমি ইতিমধ্যে আমার এইচআইপিএ পেয়েছি, আমার খারাপ - পিসিআই, এবং তারপরে, আমি এখানে প্রায় ক্লিক করছি, আমি আসলে বিভাগের বাহ্যিক বাহ্যিক ক্রস-রেফারেন্স দেখতে পাচ্ছি এটি সম্পর্কিত যে নিয়ন্ত্রণ। সুতরাং এটি আপনাকে পরবর্তী সময়ে সহায়তা করবে, আপনি যখন এটি নির্ধারণ করছেন কেন তা জানার চেষ্টা করছেন? আমি কেন এটি দেখার চেষ্টা করছি? এটি কোন বিভাগের সাথে সম্পর্কিত?

এটিতে এটি একটি দুর্দান্ত সরঞ্জামও রয়েছে যা এটি আপনাকে আপনার ব্যবহারকারীদের ভিতরে যেতে এবং ব্রাউজ করতে দেয়, সুতরাং আপনার ব্যবহারকারীর ভূমিকাগুলি অন্বেষণ করার কৌশলগুলির মধ্যে একটি, হ'ল, আমি এখানে একবার নজর দিতে যাচ্ছি। সুতরাং, আমি যদি আমার জন্য অনুমতিগুলি দেখায়, আসুন দেখুন, এখানে একটি ব্যবহারকারী বাছাই করুন। অনুমতিগুলি দেখান। আমি এই সার্ভারটির জন্য নির্ধারিত অনুমতিগুলি দেখতে পাচ্ছি, তবে তারপরে আমি এখানে ক্লিক করতে পারি এবং কার্যকর অনুমতিগুলি গণনা করতে পারি, এবং এটি আমাকে ভিত্তিক সম্পূর্ণ তালিকা দেবে, সুতরাং এই ক্ষেত্রে এটি প্রশাসক, সুতরাং এটি অত উত্তেজনাপূর্ণ নয়, তবে আমি বিভিন্ন ব্যবহারকারীদের মধ্য দিয়ে যেতে এবং তাদের বিভিন্ন অনুমোদিত গ্রুপগুলির উপর ভিত্তি করে তাদের কার্যকর অনুমতিগুলি কী তা দেখতে পেতাম। আপনি যদি নিজে নিজে এটি করার চেষ্টা করেন তবে তা আসলে কিছুটা ঝামেলা হতে পারে, তা নির্ধারণ করার জন্য, ঠিক আছে এই ব্যবহারকারী এই গোষ্ঠীগুলির একজন সদস্য এবং তাই গোষ্ঠী ইত্যাদির মাধ্যমে এই জিনিসগুলিতে অ্যাক্সেস রয়েছে etc.

সুতরাং, এই পণ্যটি যেভাবে কাজ করে, তা কী স্ন্যাপশট নেয়, তাই নিয়মিতভাবে সার্ভারের স্ন্যাপশট নেওয়া সত্যিই খুব কঠিন প্রক্রিয়া নয় এবং তারপরে এটি সেই স্ন্যাপশটগুলিকে সময়ের সাথে সাথে রাখে যাতে আপনি পরিবর্তনের জন্য তুলনা করতে পারেন। সুতরাং, পারফরম্যান্স মনিটরিং সরঞ্জামের মতো এটি গতানুগতিক অর্থে ধারাবাহিক পর্যবেক্ষণ নয়; এটি এমন একটি জিনিস যা আপনি প্রতি রাতে একবার চালাতে পারবেন, প্রতি সপ্তাহে একবার - তবে প্রায়ই আপনি বৈধ বলে মনে করেন - যাতে আপনি যখনই বিশ্লেষণ করছেন এবং আপনি আরও কিছু করছেন, আপনি আসলে শুধু আমাদের সরঞ্জাম মধ্যে কাজ। আপনি এতক্ষণ আপনার সার্ভারের সাথে সংযোগ স্থাপন করছেন না, সুতরাং এই ধরণের স্থির সেটিংসের সাথে সম্মতি পাওয়ার জন্য এটির সাথে কাজ করার জন্য এটি একটি দুর্দান্ত সুন্দর সরঞ্জাম।

আমি আপনাকে যে অন্যান্য সরঞ্জামটি দেখাতে চাই তা হ'ল আমাদের সম্মতি ম্যানেজার সরঞ্জাম। কমপ্লায়েন্স ম্যানেজার আরও নিরন্তর উপায়ে নিরীক্ষণ করতে চলেছে। এবং এটি আপনার সার্ভারে কে কী করছে তা দেখতে চলেছে এবং আপনাকে এটি একবার দেখার অনুমতি দেয়। সুতরাং, আমি এখানে যা করেছি, গত কয়েক ঘন্টা বা তার মধ্যে আমি আসলে কিছুটা সমস্যা তৈরি করার চেষ্টা করেছি। সুতরাং, আমি এখানে পেয়েছি এটি সমস্যা কিনা বা না, আমি এটি সম্পর্কে জানতে পারি, কেউ আসলে একটি লগইন তৈরি করেছে এবং এটি একটি সার্ভারের ভূমিকাতে যুক্ত করেছে। সুতরাং, আমি যদি goুকি এবং এটি একবার দেখি, আমি দেখতে পাচ্ছি - আমি অনুমান করি যে আমি সেখানে ডান ক্লিক করতে পারছি না, আমি দেখতে পাচ্ছি যা চলছে। সুতরাং, এটি আমার ড্যাশবোর্ড এবং আমি দেখতে পাচ্ছি যে আজ থেকে একটু আগে আমার প্রচুর ব্যর্থ লগইন ছিল। আমার কাছে সুরক্ষা ক্রিয়াকলাপ, ডিবিএল কার্যকলাপ ছিল।

সুতরাং, আমাকে আমার নিরীক্ষণের ইভেন্টগুলিতে যেতে দিন এবং একবার দেখুন look এখানে আমি আমার নিরীক্ষণের ইভেন্টগুলি বিভাগ এবং টার্গেট অবজেক্টের দ্বারা গোষ্ঠীভুক্ত করেছি, তাই যদি আমি আগে থেকে সেই সুরক্ষাটি একবার দেখে নিই তবে আমি ডেমোউইউউজার দেখতে পাচ্ছি, এই তৈরি সার্ভার লগইন ঘটেছে। এবং আমি দেখতে পাচ্ছি যে লগইন এসএ এই ডেমোইউউউজার অ্যাকাউন্টটি তৈরি করেছে, এখানে, দুপুর ২:৪২ এ এবং তারপরে, আমি দেখতে পাব যে পরিবর্তে সার্ভারে লগইন যুক্ত করুন, এই ডেমোনিউজারটি সার্ভার অ্যাডমিন গ্রুপে যুক্ত হয়েছিল, তারা এতে যোগ করা হয়েছিল অ্যাডমিন গ্রুপ সেটআপ করে সেগুলি সিসাদমিন গ্রুপে যুক্ত করা হয়েছিল। সুতরাং, এটি এমন কিছু যা আমি জানতে চাইতাম যে ঘটেছে। আমি এটি সেট আপও করেছি যাতে আমার টেবিলের সংবেদনশীল কলামগুলি ট্র্যাক করা যায়, তাই আমি দেখতে পাচ্ছি কে এটি অ্যাক্সেস করছে।

সুতরাং, এখানে আমি দু'জন নির্বাচিত পেয়েছি যা আমার ব্যক্তির টেবিলে ঘটেছিল, অ্যাডভেঞ্চার ওয়ার্কস থেকে। এবং আমি একবার খেয়াল করে দেখতে পারি যে অ্যাডভেঞ্চার ওয়ার্কস টেবিলের ব্যবহারকারীর এসএ ব্যক্তি বিন্দু ব্যক্তি থেকে একটি নির্বাচিত সেরা দশ তারকা করেছেন। সুতরাং আমার সংস্থায় আমি চাই না যে ব্যক্তিরা বিন্দু ব্যক্তি থেকে বেছে নেওয়া তারকাদের করুন, বা আমি কেবলমাত্র নির্দিষ্ট ব্যবহারকারীদের এটি করার প্রত্যাশা করছি, এবং তাই আমি এখানে এটি দেখতে যাচ্ছি। সুতরাং, আপনার নিরীক্ষণের ক্ষেত্রে আপনার যা প্রয়োজন, আমরা সেটি ফ্রেমওয়ার্কের উপর ভিত্তি করে সেট আপ করতে পারি এবং এটি একটি নিবিড় সরঞ্জামের কিছুটা বেশি। এটি সংস্করণটির উপর নির্ভর করে এসকিউএল ট্রেস বা এসকিউএলএক্স ইভেন্টগুলি ব্যবহার করছে। এবং এটি এমন কিছু যা আপনার সার্ভারে সামঞ্জস্য করার জন্য কয়েকটি হেডরুম থাকতে হবে তবে এটি এমন একটি বিষয়, এক ধরণের বীমা, যা আমাদের যদি গাড়ী বীমা না করতে হয় তবে তা চমৎকার it আমাদের নিতে হবে না এমন ব্যয় - তবে আপনার যদি এমন একটি সার্ভার থাকে যেখানে আপনাকে কী করছে সে সম্পর্কে নজর রাখতে হবে, আপনাকে এই কাজটি করার জন্য কিছুটা অতিরিক্ত হেডরুম এবং একটি সরঞ্জাম থাকতে হবে। আপনি আমাদের সরঞ্জামটি ব্যবহার করছেন বা আপনি নিজেই এটিকে ঘূর্ণন করছেন, নিয়মিত নিয়মকরণের জন্য আপনি এই তথ্যটি রাখার জন্য শেষ পর্যন্ত দায়বদ্ধ হবেন।

আমি যেমন বলেছি, তেমন কোনও গভীরতা ডেমো নয়, কেবল একটি দ্রুত, সামান্য সংক্ষিপ্তসার। আমি আপনাকে এই এসকিউএল কলাম অনুসন্ধান আকারে একটি দ্রুত, সামান্য নিখরচায় সরঞ্জাম প্রদর্শন করতে চেয়েছিলাম, যা আপনার পরিবেশে কোন কলাম সংবেদনশীল তথ্য বলে মনে হচ্ছে তা সনাক্ত করতে আপনি এটি ব্যবহার করতে পারেন। সুতরাং, আমাদের বেশিরভাগ অনুসন্ধানের কনফিগারেশন রয়েছে যেখানে এটি কলামের বিভিন্ন নাম সন্ধান করে যা সাধারণত সংবেদনশীল ডেটা থাকে এবং তারপরে আমি তাদের সনাক্তকরণের পুরো তালিকাটি পেয়েছি। আমি তাদের মধ্যে ১২০ পেয়েছি এবং তারপরে আমি তাদের এখানে রফতানি করেছি, যাতে আমি তাদের ব্যবহারের জন্য এটি বলতে পারি, আসুন দেখুন এবং নিশ্চিত হয়ে নিন যে আমি মাঝের নামটি, একজন ব্যক্তি বিন্দু ব্যক্তি বা বিক্রয় করের অ্যাক্সেস ট্র্যাক করছি হার ইত্যাদি

আমি জানি আমরা আমাদের সময়ের শেষে এখানে আসছি। এবং এটাই আসলে যা আমি আপনাকে দেখাতে হয়েছিল তাই আমার জন্য কোনও প্রশ্ন?

এরিক কাভানাঘ: আপনার জন্য আমার বেশ কয়েকটি ভাল লাগবে। আমাকে এটি এখানে স্ক্রোল করুন। উপস্থিতদের মধ্যে একজন সত্যিই একটি ভাল প্রশ্ন জিজ্ঞাসা করেছিলেন। যার মধ্যে একটি পারফরম্যান্স ট্যাক্স সম্পর্কে জিজ্ঞাসা করছে, তাই আমি জানি এটি সমাধান থেকে সমাধানের ক্ষেত্রে পরিবর্তিত হয়, তবে আইডিআরএ সুরক্ষা সরঞ্জামগুলি ব্যবহার করার জন্য পারফরম্যান্স ট্যাক্স কী তা সম্পর্কে আপনার কোনও সাধারণ ধারণা আছে?

ভিকি হার্প: সুতরাং, এসকিউএল সিকিউরে, যেমন আমি বলেছিলাম, এটি খুব কম, এটি কেবল মাঝে মাঝে কিছু স্ন্যাপশট নেবে। এমনকি আপনি প্রায়শই চলমান থাকলেও সেটিংস সম্পর্কে স্থির তথ্য পাচ্ছে, এবং তাই এটি খুব কম, প্রায় নগন্য। কমপ্লায়েন্স ম্যানেজারের ক্ষেত্রে এটি it

এরিক কাভানাঘ: এক শতাংশের মতো?

ভিকি হার্প: যদি আমাকে একটি শতাংশ নম্বর দিতে হয়, হ্যাঁ, এটি এক শতাংশ বা তার চেয়ে কম হবে। এটি এসএসএমএস ব্যবহার এবং সুরক্ষা ট্যাবে যেতে এবং জিনিসগুলি প্রসারিত করার ক্রম সম্পর্কিত প্রাথমিক তথ্য। কমপ্লায়েন্সের দিক থেকে এটি অনেক বেশি - সে কারণেই আমি বলেছিলাম যে এটির জন্য একটি সামান্য হেডরুম প্রয়োজন - এটির মতো এটি পারফরম্যান্স পর্যবেক্ষণের ক্ষেত্রে আপনার যা আছে তার থেকেও ভাল। এখন, আমি লোকদের এটিকে দূরে রাখতে চাই না, কমপ্লায়েন্স মনিটরিংয়ের কৌশল এবং যদি এটি নিরীক্ষণ করা হয় তবে আপনি কী পদক্ষেপ নিচ্ছেন তা কেবল আপনি নিরীক্ষণ করছেন তা নিশ্চিত করা। সুতরাং, একবার আপনি ফিল্টার করে বলুন, "আরে, আমি যখন লোকেরা এই নির্দিষ্ট টেবিলগুলিতে অ্যাক্সেস করি তখন আমি জানতে চাই এবং যখনই লোকেরা অ্যাক্সেস করে, এই বিশেষ পদক্ষেপগুলি গ্রহণ করে আমি জানতে চাই, " তবে এটি কতটা সময় হয় তার উপর ভিত্তি করে তৈরি হবে ঘটছে এবং আপনি কত ডেটা তৈরি করছেন। আপনি যদি বলেন, "আমি এই টেবিলগুলির যে কোনও একটিতে যে কোনও নির্বাচনের পুরো এসকিউএল পাঠ্যটি চাই, " এটি কেবলমাত্র গিগা বাইট এবং গিগা বাইটের ডেটা হতে চলেছে যা এসকিউএল সার্ভারের দ্বারা বিভক্ত হওয়া আমাদের পণ্যটিতে স্থানান্তরিত হয়েছে, প্রভৃতি

আপনি যদি এটিকে নীচে রাখেন তবে এটি সম্ভবত আপনার সাথে ডিল হতে পারে তার চেয়েও বেশি তথ্য হতে পারে। আপনি যদি এটি একটি ছোট সেট এ নিয়ে যেতে পারেন, যাতে আপনি প্রতিদিন কয়েক শতাধিক ইভেন্ট পান, তবে এটি অবশ্যই অনেক কম। সুতরাং, সত্যিই, কিছু উপায়ে, আকাশ সীমাবদ্ধতা। আপনি যদি সমস্ত কিছুর জন্য সমস্ত পর্যবেক্ষণের সমস্ত সেটিংস চালু করেন, তবে হ্যাঁ, এটি 50 শতাংশের কার্যকারিতা হিট হবে। তবে আপনি যদি এটিকে আরও মাঝারি, বিবেচিত স্তরের দিকে পরিণত করতে যাচ্ছেন তবে আমি সম্ভবত 10 শতাংশ আইবোল করব? এটি সত্যিই, এটি আপনার কাজের বোঝার উপর খুব নির্ভরশীল হতে চলেছে things

এরিক কাভানাঘ: হ্যাঁ, ঠিক আছে। হার্ডওয়্যার সম্পর্কে আরও একটি প্রশ্ন রয়েছে। এবং তারপরে, হার্ডওয়্যার বিক্রেতারা খেলায় আসছেন এবং সফ্টওয়্যার বিক্রেতাদের সাথে সত্যিই সহযোগিতা করছেন এবং আমি প্রশ্নোত্তর উইন্ডোটির মাধ্যমে উত্তর দিয়েছি। আমি একটি বিশেষ ক্ষেত্রে জানি, ক্লৌডের ইন্টেলের সাথে কাজ করা যেখানে ইন্টেল তাদের মধ্যে সেই বিশাল বিনিয়োগ করেছে, এবং ক্যালকুলাসের একটি অংশ ছিল যে ক্লৌডেরা চিপ ডিজাইনের প্রাথমিক প্রবেশাধিকার পাবে, এবং এইভাবে চিপের স্তরটিতে সুরক্ষা বানাতে সক্ষম হবে আর্কিটেকচার, যা বেশ চিত্তাকর্ষক। তবে তা সত্ত্বেও, এটি এমন কিছু যা সেখান থেকে বেরিয়ে আসে এবং এখনও উভয় পক্ষই শোষণ করতে পারে। সুরক্ষা প্রোটোকলে সফ্টওয়্যার বিক্রেতাদের সাথে সহযোগিতা করার জন্য হার্ডওয়্যার বিক্রেতাদের কোনও প্রবণতা বা কোনও প্রবণতা সম্পর্কে আপনি কি জানেন?

ভিকি হার্প: হ্যাঁ, আসলে, আমি বিশ্বাস করি যে মাইক্রোসফ্ট কিছু এনক্রিপশন কাজের জন্য মেমোরি স্পেসটি আসলে মাদারবোর্ডগুলিতে আপনার মূল স্মৃতি থেকে পৃথক পৃথক চিপগুলিতে ঘটানোর জন্য সহযোগিতা করেছে some যে স্টাফ শারীরিকভাবে পৃথক করা হয়। এবং আমি বিশ্বাস করি যে এটি প্রকৃতপক্ষে মাইক্রোসফ্ট থেকে বিক্রেতাদের কাছে যাবার কথা বলে এসেছিল, "আমরা কী এটি তৈরির উপায় নিয়ে আসতে পারি, মূলত এটি অপ্রকাশনীয় স্মৃতি, আমি বাফার ওভারফ্লোতে যেতে পারি না এই স্মৃতি, কারণ এটি সেখানে নেই, কিছু দিক থেকে, তাই আমি জানি যে এর কিছু ঘটছে। "

এরিক কাভানাঘ: হ্যাঁ।

ভিকি হার্প: সম্ভবত এটি সম্ভবত সত্যই বড় বিক্রেতাদের হতে চলেছে, সম্ভবত likely

এরিক কাভানাঘ: হ্যাঁ। আমি এটি দেখার জন্য আগ্রহী এবং সম্ভবত রবিন, যদি আপনার দ্রুত দ্বিতীয় হয় তবে আমি বছরের পর বছর ধরে আপনার অভিজ্ঞতা জানার জন্য আগ্রহী, কারণ আবার হার্ডওয়ারের ক্ষেত্রে, প্রকৃত উপাদান বিজ্ঞানের দিক থেকে আপনি বিক্রেতার পক্ষ থেকে যা একসাথে রেখে যাচ্ছেন, সেই তথ্য উভয় পক্ষেই যেতে পারে, এবং তাত্ত্বিকভাবে আমরা উভয় পক্ষে মোটামুটি তাত্ক্ষণিকভাবে যেতে পারি, সুতরাং নকশার দিক থেকে সুরক্ষার জন্য নকশার দৃষ্টিভঙ্গি থেকে হার্ডওয়্যারটি আরও সাবধানতার সাথে ব্যবহার করার কোনও উপায় আছে কি? আপনি কি মনে করেন? রবিন, তুমি কি নিস্তব্ধ?

রবিন ব্লুর: হ্যাঁ, হ্যাঁ আমি দুঃখিত, আমি এখানে আছি; আমি শুধু প্রশ্নটি চিন্তা করছি। সত্যি কথা বলতে, আমি একটি মতামত পাইনি, এটি এমন একটি অঞ্চল যা আমি উল্লেখযোগ্য গভীরতার সাথে দেখিনি, সুতরাং আমি এক ধরনের, আপনি জানেন, আমি একটি মতামত উদ্ভাবন করতে পারি, তবে আমি আসলে জানি না। আমি সফ্টওয়্যারগুলিতে জিনিসগুলিকে সুরক্ষিত রাখতে পছন্দ করি, এটি মূলত আমি খেলি।

এরিক কাভানাঘ: হ্যাঁ। ভাল, ভাবী, আমরা এক ঘন্টা ধরে জ্বলে উঠেছি এবং এখানে পরিবর্তন করেছি। আপনার সময় এবং মনোযোগের জন্য - তার সময় এবং মনোযোগের জন্য ভিকি হার্পকে অনেক ধন্যবাদ; আমরা আপনাকে এই জিনিসগুলি দেখানোর জন্য প্রশংসা করি। এটা একটা বড় চুক্তি; এটি শীঘ্রই যে কোনও সময় চলে যাবে না। এটি একটি বিড়াল এবং মাউস গেম যা চলছে এবং চলছে এবং চলছে keep এবং তাই আমরা কৃতজ্ঞ যে কিছু সংস্থাগুলি সেখানে উপস্থিত রয়েছে, সুরক্ষার সক্রিয়করণের দিকে মনোনিবেশ করেছিল, তবে ভিকি এমনকি দিনের শেষে তার উপস্থাপনায় কিছুটা ইঙ্গিত করে এবং কথা বলেছিল, এটি এমন সংস্থার লোক যারা খুব সাবধানে চিন্তা করতে হবে এই ফিশিং আক্রমণগুলি সম্পর্কে, সেই ধরণের সামাজিক প্রকৌশল এবং আপনার ল্যাপটপগুলিতে ধরে রাখুন - এটি কফির দোকানে ছেড়ে যাবেন না! আপনার পাসওয়ার্ড পরিবর্তন করুন, বেসিকগুলি করুন এবং আপনি সেখানে 80 শতাংশ পথ পাচ্ছেন।

সুতরাং, এর সাথে, ভাবেন, আমরা আপনাকে বিদায় জানাতে চলেছি, আপনার সময় এবং মনোযোগের জন্য আপনাকে আবারও ধন্যবাদ জানাই। আমরা পরের বার আপনার কাছে যাব, যত্ন নেব। বাই বাই

ভিকি হার্প: বাই, আপনাকে ধন্যবাদ

অনুমতি চাইতে আরও ভাল: গোপনীয়তা এবং সুরক্ষার জন্য সর্বোত্তম অনুশীলন