ছাড়াইয়া লত্তয়া: হোস্ট এরিক কাভানাঘ ডাঃ রবিন ব্লার এবং আইডিআরএস ভিকি হার্পের সাথে সুরক্ষা এবং অনুমতি নিয়ে আলোচনা করেছেন।
আপনি বর্তমানে লগ ইন নেই Please ভিডিওটি দেখতে লগ ইন বা সাইন আপ করুন।
এরিক কাভানাঘ: ঠিক আছে, মহিলা এবং ভদ্রলোক, হ্যালো এবং আবার ফিরে আসুন। এটি একটি বুধবার, এর চারটি পূর্ব এবং এন্টারপ্রাইজ প্রযুক্তির বিশ্বে যার অর্থ হট টেকনোলজিসের জন্য আবার একবার! হ্যাঁ, সত্যিই। টেকোপিডিয়ায় আমাদের বন্ধুদের দ্বারা চালিত অবশ্যই ব্লার গ্রুপ দ্বারা উপস্থাপিত। আজকের বিষয়টি একটি দুর্দান্ত বিষয়: "অনুমতি জিজ্ঞাসা করাই ভাল: গোপনীয়তা এবং সুরক্ষার জন্য সর্বোত্তম অনুশীলন” "ঠিক এটি, এটির মতো শক্ত বিষয়, প্রচুর লোকেরা এ সম্পর্কে কথা বলেন, তবে এটি বেশ গুরুতর বিষয়, এবং এটি সত্যিই প্রতিদিন আরও গুরুতর হয়ে উঠছে, বেশ খোলামেলাভাবে। এটি বহু সংস্থার পক্ষে বিভিন্ন দিক থেকে এটি একটি গুরুতর বিষয়। আমরা সে সম্পর্কে কথা বলতে যাচ্ছিলাম এবং আজকাল এই জায়গা জুড়ে মনে হয় এমন দুষ্টু চরিত্রগুলি থেকে আপনার সংগঠনটিকে রক্ষা করতে আপনি কী করতে পারেন সে সম্পর্কে কথা বলতে যাচ্ছিলেন।
তাই আজকের উপস্থাপক হলেন আইডিআরএ থেকে কল করা ভিকি হার্প। আপনি লিংকডইনে আইডিআরএ সফটওয়্যারটি দেখতে পারেন - আমি লিঙ্কডইনে নতুন কার্যকারিতাটি পছন্দ করি। যদিও আমি বলতে পারি তারা নির্দিষ্ট উপায়ে কিছু স্ট্রিং টানছে, আপনাকে লোকের অ্যাক্সেস না দেয়, আপনাকে সেই প্রিমিয়াম সদস্যতা কেনার চেষ্টা করছে। আপনি সেখানে যান, আমাদের খুব নিজস্ব রবিন ব্লুর রয়েছে, ডায়ালিং - হ্যাঁ বাস্তবে সান দিয়েগো অঞ্চলে আজ। এবং আপনার মডারেটর / বিশ্লেষক হিসাবে সত্যই আপনার।
তাই আমরা যে বিষয়ে কথা হয় কি? তথ্য লঙ্ঘন। আমি এই তথ্যটি আইডেন্টিফোর্স ডটকম থেকে সরিয়ে নিয়েছি, এটি ইতিমধ্যে দৌড়ের জন্য বন্ধ। এই বছরের অবশ্যই মে ছিল, এবং সেখানে মাত্র এক টন তথ্য লঙ্ঘন হয়েছে, কিছু সত্যই ইয়াহু দ্বারা বিশাল বিশাল রয়েছে! এটি ছিল একটি বড়, এবং আমরা অবশ্যই শুনেছি মার্কিন সরকার হ্যাক হচ্ছে। আমরা সবেমাত্র ফরাসী নির্বাচন হ্যাক করেছিলাম।
এটি পুরো জায়গা জুড়েই ঘটছে, এটির ধারাবাহিকতা এবং এটি বন্ধ হবে না, তাই তারা যেমন বলে, এটি একটি বাস্তবতা, এটিই নতুন বাস্তবতা। আমাদের সিস্টেম এবং আমাদের ডেটার সুরক্ষা কার্যকর করার উপায়গুলি সম্পর্কে আমাদের সত্যই চিন্তা করা দরকার। এবং এটি একটি চলমান প্রক্রিয়া, তাই এটি সময়ে সময়ে খেলে আসা সমস্ত বিভিন্ন সমস্যা সম্পর্কে চিন্তাভাবনা করে। এটি কেবল একটি আংশিক তালিকা, তবে এটি আপনাকে এন্টারপ্রাইজ সিস্টেমগুলির সাথে পরিস্থিতি কতটা অনিশ্চিত বলে ঠিক তার কিছু দৃষ্টিভঙ্গি দেয়। এবং এই শোয়ের আগে, আমাদের প্রি-শো ব্যানারে আমরা মুক্তিপণ সম্পর্কে কথা বলছিলাম যা আমার পরিচিত কাউকে আঘাত করেছে, এটি একটি খুব অপ্রীতিকর অভিজ্ঞতা, যখন কেউ আপনার আইফোন নিয়ে যায় এবং আপনার ফোনে ফিরে অ্যাক্সেস পাওয়ার জন্য অর্থ দাবি করে। তবে এটি ঘটে, এটি কম্পিউটারের সাথে ঘটে, এটি সিস্টেমের ক্ষেত্রে ঘটেছিল, আমি অন্যদিন দেখেছি, এটি তাদের ইয়টের সাথে কোটিপতিদের ক্ষেত্রে ঘটছে। একদিন আপনার ইয়টে যাওয়ার কল্পনা করুন, আপনার সমস্ত বন্ধুকে মুগ্ধ করার চেষ্টা করলেন এবং আপনি এটি চালুও করতে পারবেন না, কারণ কিছু চোর নিয়ন্ত্রণ, নিয়ন্ত্রণ প্যানেলে অ্যাক্সেস চুরি করেছে। আমি অন্য দিন কেবল কারও কাছে একটি সাক্ষাত্কারে বলেছিলাম, সর্বদা ম্যানুয়ালটি ওভাররাইড করুন। পছন্দ করুন, আমি সমস্ত সংযুক্ত গাড়ির একটি বড় অনুরাগী নই - এমনকি গাড়িগুলিও হ্যাক করা যায়। ইন্টারনেটে সংযুক্ত বা যে কোনও নেটওয়ার্কের সাথে সংযুক্ত যা কিছু প্রবেশ করতে পারে তা হ্যাক করা যায়, যে কোনও কিছু।
সুতরাং, পরিস্থিতিটি কতটা গুরুতর, তা নির্ধারণের ক্ষেত্রে এখানে কয়েকটি আইটেম বিবেচনা করতে হবে। ওয়েব-ভিত্তিক সিস্টেমগুলি আজকাল সর্বত্র রয়েছে, তারা ক্রমবর্ধমান অবিরত। কত লোক অনলাইনে জিনিস কিনে? আজকাল কেবল ছাদের মধ্য দিয়ে এটি এখনই কেন আমাজন এত শক্তিশালী শক্তি। এর কারণ অনেক লোক অনলাইনে স্টাফ কিনছেন।
সুতরাং, আপনার মনে আছে 15 বছর আগে, লোকেরা তাদের তথ্য পেতে তাদের ক্রেডিট কার্ডকে একটি ওয়েব ফর্মের মধ্যে রাখার বিষয়ে বেশ ঘাবড়ে গিয়েছিল এবং তত্ক্ষণাত্ যুক্তিটি ছিল, "আচ্ছা, যদি আপনি আপনার ক্রেডিট কার্ডটি ওয়েটারের হাতে দেন তবে একটি রেস্তোঁরা, তারপরে একই জিনিস ts "সুতরাং, আমাদের উত্তর হ্যাঁ, এটি একই জিনিস, এই নিয়ন্ত্রণ পয়েন্টগুলি বা অ্যাক্সেস পয়েন্টগুলি, একই জিনিস, একই মুদ্রার বিভিন্ন দিক রয়েছে, যেখানে লোকদের রাখা যেতে পারে ঝুঁকির মধ্যে পড়ে, যেখানে কেউ আপনার অর্থ নিতে পারে বা কেউ আপনার কাছ থেকে চুরি করতে পারে।
তারপরে আইওটি অবশ্যই হুমকিসীমাটি প্রসারিত করে - আমি সেই শব্দটি পছন্দ করি - প্রস্থের আদেশ দিয়ে। এর অর্থ, এটিকে সম্পর্কে ভাবুন - এই সমস্ত নতুন ডিভাইস সহ যেকোন জায়গায়, কেউ যদি তাদের নিয়ন্ত্রণ করে এমন কোনও সিস্টেমে হ্যাক করতে পারে, তবে তারা আপনার বিরুদ্ধে এই সমস্ত বটগুলি ঘুরিয়ে আনতে পারে এবং প্রচুর সমস্যা তৈরি করতে পারে, তাই এটি খুব গুরুতর সমস্যা। আজকাল আমাদের একটি বিশ্বব্যাপী অর্থনীতি রয়েছে, যা হুমকির মুখোশকে আরও বেশি প্রসারিত করে এবং আরও কী, আপনারা অন্যান্য দেশের লোকেরা ওয়েবে অ্যাক্সেস করতে পারেন ঠিক তেমনভাবে আপনি এবং আমিও করতে পারি, এবং আপনি যদি রাশিয়ান কথা বলতে জানেন না, বা অন্য যে কোনও ভাষার সংখ্যা, আপনি যখন আপনার সিস্টেমে হ্যাক করেন তখন কী চলছে তা বোঝার জন্য আপনার খুব কষ্ট হচ্ছে। সুতরাং আমাদের নেটওয়ার্কিং এবং ভার্চুয়ালাইজেশন অগ্রগতি আছে, ভাল ভাল thats।
তবে আমার এখানে এই ছবির ডানদিকে রয়েছে, একটি তরোয়াল এবং আমার কাছে এটি কারণ কারণ প্রতিটি তরোয়াল উভয় উপায়ে কাটায়। এটি যেমন একটি দ্বি-তরোয়াল তরোয়াল এবং এটি একটি পুরাতন শত্রু, তবে এর অর্থ আমার কাছে থাকা তরোয়ালটি আপনাকে ক্ষতি করতে পারে বা এটি আমার ক্ষতি করতে পারে। এটি আমার কাছে ফিরে আসতে পারে, হয় ফিরে বাউন্স করে বা এটি গ্রহণ করে। এটি আসলে আইসপস ফেবিলগুলির মধ্যে একটি - আমরা প্রায়শই শত্রুদেরকে আমাদের নিজস্ব ধ্বংসের সরঞ্জাম দিয়ে থাকি। এটি সত্যিই বেশ জোরালো গল্পের কাহিনী এবং এটি এমন একজনের সাথে করা হয়েছে যিনি ধনুক এবং তীর ব্যবহার করেছিলেন এবং একটি পাখি গুলি করেছিলেন এবং পাখিটি দেখেছিল, তীর যখন আসছিল, তার পাখির বন্ধুরা থেকে পালকটি তীরের কিনারে ছিল, দিকনির্দেশনা দেওয়ার জন্য তীরের পিছনে, এবং সে নিজেকে মনে করেছিল, "ওহে মানুষ, এটি আমার নিজের পালক, আমার নিজের পরিবার আমাকে নেওয়ার জন্য ব্যবহার করা হবে” "সর্বদা এটি ঘটে থাকে, আপনি শুনেন আপনার বাড়িতে একটি বন্দুক আছে সম্পর্কে পরিসংখ্যান, চোর বন্দুকটি নিতে পারে। ঠিক আছে, এটা সব সত্য। সুতরাং, আমি কেবল এটি বিবেচনা করার জন্য একটি উপমা হিসাবে এটিকে এখানে ফেলে দিচ্ছি, এই সমস্ত বিভিন্ন বিকাশের ইতিবাচক দিক এবং নেতিবাচক দিক রয়েছে।
এবং কথা বলছি, আপনার মধ্যে যারা সত্যিই এন্টারপ্রাইজ কম্পিউটিংয়ের কাটিয়া প্রান্তটি অনুসরণ করেন তাদের জন্য পাত্রে হ'ল পাত্রে সর্বশেষতম জিনিস, কার্যকারিতা সরবরাহের সর্বশেষতম উপায়, পরিষেবা-ভিত্তিক আর্কিটেকচারে এটি ভার্চুয়ালাইজেশনের সত্যই বিবাহ, অন্তত মাইক্রোসার্কেস এবং এর জন্য খুব আকর্ষণীয় জিনিস। আপনি অবশ্যই আপনার সুরক্ষা প্রোটোকল এবং আপনার অ্যাপ্লিকেশন প্রোটোকল এবং আপনার ডেটা এবং আরও কিছুক্ষণ, পাত্রে ব্যবহার করে অবহেলা করতে পারেন এবং এটি আপনাকে একটি নির্দিষ্ট সময়ের জন্য অগ্রিম সরবরাহ করতে পারে তবে খুব শীঘ্রই বা খারাপ লোকেরা এটি নির্ধারণ করতে চলেছে, এবং তারপরে এটি আপনার সিস্টেমে সুবিধা গ্রহণ করা রোধ করা আরও শক্ত হতে চলেছে। সুতরাং, সেখানে, বৈশ্বিক কর্মী বাহিনী যা নেটওয়ার্ক এবং সুরক্ষাকে জটিল করে তোলে এবং লোকেরা যেখান থেকে লগ ইন করছে।
আমরা ব্রাউজারের যুদ্ধ পেয়েছি যা দ্রুতগতিতে অব্যাহত রয়েছে এবং আপডেট করার জন্য এবং জিনিসগুলির শীর্ষে থাকার জন্য অবিচ্ছিন্ন কাজ প্রয়োজন। আমরা পুরানো মাইক্রোসফ্ট এক্সপ্লোরার ব্রাউজারগুলির বিষয়ে শুনছি, সেগুলি কীভাবে হ্যাক হয়েছিল এবং সেখানে কীভাবে উপলব্ধ ছিল। সুতরাং, আজকাল হ্যাকিংয়ের জন্য আরও বেশি অর্থোপার্জন করা দরকার, পুরো শিল্প জুড়ে, এটি এমন একটি বিষয় যা আমার সঙ্গী ডঃ ব্লুর আট বছর আগে আমাকে শিখিয়েছিলেন - আমি ভাবছিলাম যে আমরা কেন এত কিছু দেখছি, এবং তিনি মনে করিয়ে দিয়েছিলেন আমি, এটি হ্যাকিংয়ের সাথে জড়িত একটি সম্পূর্ণ শিল্প। এবং সেই অর্থে, আখ্যানটি, যা আমার সুরক্ষার বিষয়ে সবচেয়ে কম প্রিয় শব্দ, এটি সত্যই খুব অসত, কারণ বিবরণী আপনাকে এই সমস্ত ভিডিওতে এবং যে কোনও ধরণের নিউজ কভারেজের মাধ্যমে দেখায় কিছু হ্যাকিং তারা হুডিতে কিছু লোক দেখায়, বসে আছে একটি অন্ধকার আলোকিত কক্ষে তার বেসমেন্টে, এটি সব ক্ষেত্রেই হয় না। এটি বাস্তবে কোনও প্রতিনিধি নয়। এটির একাকী হ্যাকার, খুব অল্প হোন হ্যাকার রয়েছে, তারা সেখানে এসেছিল, কারণ তারা কিছুটা সমস্যা সৃষ্টি করছে - তারা বড় সমস্যায় পড়বে না, তবে তারা পুরো অর্থ উপার্জন করতে পারে। সুতরাং যা ঘটে তা হ্যাকাররা এসে উপস্থিত হয় এবং আপনার সিস্টেমে প্রবেশ করে এবং তারপরে অন্য কারও কাছে সেই অ্যাক্সেস বিক্রি করে, যে ঘুরে দাঁড়ায় এবং এটিকে অন্য কারও কাছে বিক্রি করে এবং তারপরে কোথাও লাইনটি পড়ে, কেউ সেই হ্যাকটিকে কাজে লাগায় এবং আপনার সুবিধা নেয় takes এবং চুরি হওয়া ডেটার সুবিধা নেওয়ার অসংখ্য উপায় রয়েছে।
এমনকি আমি কীভাবে এই ধারণাকে গ্ল্যামারাইজ করে চলেছি তা সম্পর্কে নিজেও অবাক হয়েছি। আপনি এই শব্দটি সর্বত্র দেখতে পান, "গ্রোথ হ্যাকিং" এটির মতো ভাল জিনিস। গ্রোথ হ্যাকিং, আপনি জানেন, হ্যাকিং একটি ভাল জিনিস হতে পারে, যদি আপনি ভাল লোকের পক্ষে কাজ করার চেষ্টা করে থাকেন যাতে কোনও সিস্টেমে কথা বলা হয় এবং হ্যাক করা হয়, যেমন আমরা উত্তর কোরিয়া এবং তাদের ক্ষেপণাস্ত্র লঞ্চগুলির সাথে কথা বলতে থাকি, সম্ভাব্যভাবে হ্যাক করা হয় - তবে ভাল । তবে হ্যাকিং প্রায়শই খারাপ জিনিস হয়ে থাকে। আমরা এখন রবিন হুডের মতো এটির গ্ল্যামারাইজ করছিলাম, যখন আমরা রবিন হুডকে গ্ল্যামারাইজ করি। এবং তারপরে নগদহীন সমাজ রয়েছে, কিছু আমার কাছে প্রকাশ্য দিবালোক উদ্ভাসিত করে। আমি যতবার শুনি সবই মনে হয় এটি হ'ল, "না, দয়া করে এটি করবেন না! দয়া করে না! "আমি চাই না যে আমাদের সমস্ত অর্থ অদৃশ্য হয়ে যায়। সুতরাং, এগুলি বিবেচনা করার জন্য কেবল কয়েকটি সমস্যা এবং আবার এটি একটি বিড়াল এবং মাউস খেলা; এটি কখনই থামবে না, সুরক্ষা প্রোটোকলগুলির জন্য এবং সুরক্ষা প্রোটোকলগুলির অগ্রগতির জন্য সর্বদা প্রয়োজন থাকবে। এবং আপনার সিস্টেমে নজরদারি করার জন্য এমনকি সেখানে কাকে জানা এবং সংবেদন করা দরকার তা বোঝার সাথে এটি এমনকি অভ্যন্তরীণ কাজও হতে পারে। সুতরাং এটি একটি চলমান ইস্যু, এটি বেশ কিছু সময়ের জন্য একটি চলমান সমস্যা হতে চলেছে - সে সম্পর্কে কোনও ভুল করবেন না make
এবং তার সাথে, আমি এটিকে ড। ব্লুরের হাতে দেব, যিনি আমাদের সাথে ডাটাবেসগুলি সুরক্ষার বিষয়ে কিছু চিন্তাভাবনা ভাগ করে নিতে পারেন। রবিন, নিয়ে যাও।
রবিন ব্লোর: ঠিক আছে, একটি আকর্ষণীয় হ্যাক, আমার মনে হয় এটি প্রায় পাঁচ বছর আগে ঘটেছিল, তবে মূলত এটি একটি কার্ড প্রসেসিং সংস্থা ছিল যা হ্যাক হয়েছিল। এবং প্রচুর কার্ডের বিশদ চুরি হয়ে গেছে। তবে এটি সম্পর্কে আকর্ষণীয় বিষয়টি আমার কাছে ছিল যে এটি ছিল সত্যিকারের পরীক্ষামূলক ডাটাবেস যা তারা আসলে ,ুকে পড়েছিল এবং সম্ভবত এটিই ছিল যে প্রসেসিং কার্ডগুলির প্রকৃত, বাস্তব ডাটাবেসে প্রবেশ করতে তাদের প্রচুর অসুবিধা হয়েছিল। তবে আপনি কীভাবে এটি জানেন যে এটি বিকাশকারীদের সাথে রয়েছে, তারা কেবল একটি ডাটাবেসের একটি কাটা নিয়ে যান এবং এটি সেখানে সরিয়ে দেন। এটি বন্ধ করার জন্য আরও অনেক বেশি নজরদারি করা উচিত ছিল। তবে প্রচুর আকর্ষণীয় হ্যাকিংয়ের গল্প রয়েছে, এটি একটি ক্ষেত্রে তৈরি করে, এটি একটি খুব আকর্ষণীয় বিষয় তৈরি করে।
সুতরাং আমি বাস্তবে যাচ্ছি, এক বা অন্য উপায়ে, এরিক যা বলেছিলেন তার কয়েকটি পুনরাবৃত্তি করুন, তবে স্থিতিশীল লক্ষ্য হিসাবে ডেটা সুরক্ষার কথা ভাবা সহজ; স্থিতিশীল পরিস্থিতি বিশ্লেষণ করা এবং তারপরে সেখানে প্রতিরক্ষা, প্রতিরক্ষা স্থাপনের কথা চিন্তা করা সহজ কারণ এটি সহজ but এটির চলমান লক্ষ্য এবং এটির মধ্যে একটি এমন জিনিস যা এই জাতীয় সুরক্ষা স্থানকে পুরোপুরি সংজ্ঞায়িত করে। এটি ঠিক যেভাবে সমস্ত প্রযুক্তি বিকশিত হয় ঠিক তেমনই খারাপ লোকগুলির প্রযুক্তিও বিকশিত হয়। সুতরাং, সংক্ষিপ্ত সংক্ষিপ্ত বিবরণ: তথ্য চুরি নতুন কিছু নয়, প্রকৃতপক্ষে, ডেটা গুপ্তচরবৃত্তি হ'ল ডেটা চুরি এবং এটি হাজার হাজার বছর ধরে চলছে।
এই পদগুলির মধ্যে সবচেয়ে বড় তথ্য হ'ল ব্রিটিশরা জার্মান কোডগুলি ভাঙ্গছিল এবং আমেরিকানরা জাপানি কোডগুলি ভঙ্গ করেছিল এবং উভয় ক্ষেত্রেই তারা যুদ্ধকে খুব উল্লেখযোগ্যভাবে সংক্ষিপ্ত করেছিল। এবং তারা কেবল দরকারী এবং মূল্যবান ডেটা চুরি করছিল, এটি অবশ্যই খুব চতুর ছিল, তবে আপনি জানেন যে, এখন যা চলছে তা অনেক দিক দিয়ে খুব চালাক। সাইবার চুরি ইন্টারনেটের সাথে জন্মগ্রহণ করেছিল এবং ২০০৫ সালের দিকে বিস্ফোরিত হয়েছিল I আমি গিয়ে সমস্ত পরিসংখ্যানের দিকে তাকিয়েছিলাম এবং আপনি যখন সত্যিই গুরুতর হয়ে উঠতে শুরু করেছিলেন এবং কোনওভাবে বা অন্যভাবে উল্লেখযোগ্যভাবে উচ্চ সংখ্যাটি প্রায় ২০০৫ সালে শুরু হয়েছিল since তারপর। অনেক খেলোয়াড়, সরকার জড়িত, ব্যবসায় জড়িত, হ্যাকার গ্রুপ এবং ব্যক্তিরা।
আমি মস্কো গিয়েছিলাম - এটি প্রায় পাঁচ বছর কেটে গেছে - এবং আমি হ্যাকিংয়ের পুরো জায়গাটি নিয়ে গবেষণা করে যুক্তরাজ্যের একজন লোকের সাথে অনেক সময় কাটিয়েছি। এবং তিনি বলেছিলেন যে - এবং এটি সত্য কিনা আমার কোনও ধারণা নেই, আমি কেবল তার জন্য এই কথাটি পেয়েছি, তবে এটি খুব সম্ভবত মনে হচ্ছে - যে রাশিয়ায় বিজনেস নেটওয়ার্ক নামে কিছু রয়েছে যা হ্যাকারদের একটি দল যা এই সমস্ত, আপনি জেনে রাখুন, তারা কেজিবির ধ্বংসাবশেষ থেকে বেরিয়ে এসেছিল। এবং তারা নিজেরাই কেবল বিক্রি করে না, আমি বলতে চাই, রাশিয়ার সরকার এগুলি ব্যবহার করে তবে তারা নিজেরাই যে কারও কাছে বিক্রি করে, এবং এটি গুজব হয়েছিল, বা তিনি বলেছিলেন যে এটি গুজব ছিল, বিভিন্ন বিদেশী সরকার ব্যবসায়িক নেটওয়ার্ককে প্রশংসনীয় অস্বীকারের জন্য ব্যবহার করছে । এই ছেলেরা কোটি কোটি আপোষযুক্ত পিসিগুলির নেটওয়ার্ক রয়েছে যা তারা আক্রমণ করতে পারে। এবং আপনি কল্পনা করতে পারেন এমন সমস্ত সরঞ্জাম তাদের কাছে ছিল।
সুতরাং, আক্রমণ এবং প্রতিরক্ষা প্রযুক্তি বিকশিত হয়েছিল। এবং ব্যবসায়ীরা তাদের ডেটা মালিকানাধীন কিনা তা তাদের যত্ন নেওয়ার দায়িত্ব রয়েছে। এবং ইতিমধ্যে কার্যকরভাবে প্রয়োগ করা বা কার্যকর হওয়ার ফলে বিভিন্ন বিধিবিধানের দিক থেকে আরও স্পষ্ট হয়ে উঠতে শুরু করে। এবং উন্নত হওয়ার সম্ভাবনা রয়েছে, কোনও একরকম বা অন্য কোনও উপায়ে, কারও এমনভাবে হ্যাকিংয়ের ব্যয় বহন করতে হবে যাতে তারা সম্ভাবনা বন্ধ করার জন্য উত্সাহিত হয়। আমি অনুমান করি যে একটি জিনিস প্রয়োজনীয়। হ্যাকারদের সম্পর্কে তাই তারা যে কোনও জায়গায় অবস্থিত হতে পারে। বিশেষত আপনার সংস্থার মধ্যে - উদ্ভাবনী হ্যাকগুলির একটি ভয়ঙ্কর প্রচুর পরিমাণে যা শুনেছিল যে কেউ দরজা খোলার সাথে জড়িত থাকার কথা শুনেছিল। আপনি জানেন, ব্যক্তিটি, এটি ব্যাংক ডাকাতের মতো পরিস্থিতি, প্রায় সর্বদা তারা বলত ভাল ব্যাঙ্ক ডাকাতগুলিতে একটি অভ্যন্তর থাকে। তবে অন্তর্দৃষ্টিকারীকে কেবল তথ্য দেওয়া দরকার, সুতরাং তাদের পাওয়া, এটি কে ছিল তা জানার পক্ষে আরও অনেক অসুবিধা।
এবং তাদের বিচারের আওতায় আনতে অসুবিধা হতে পারে, কারণ আপনি যদি মলদোভাতে একদল লোককে কুপিয়েছিলেন, এমনকি যদি আপনি জানেন যে এই গ্রুপটি ছিল, আপনি কীভাবে তাদের চারপাশে একরকম আইনী ঘটনা ঘটাবেন? একধরনের এখতিয়ার থেকে অন্য ধরণের, এর ন্যায়নিষ্ঠ, হ্যাকারদের পিন করার জন্য আন্তর্জাতিক ব্যবস্থাগুলির খুব ভাল সেট নেই। তারা প্রযুক্তি এবং তথ্য ভাগ করে; এটির অনেক কিছুই ওপেন সোর্স। আপনি যদি নিজের ভাইরাস তৈরি করতে চান তবে সেখানে প্রচুর পরিমাণে ভাইরাস কিট রয়েছে - সম্পূর্ণ ওপেন সোর্স। এবং তাদের যথেষ্ট সংস্থান আছে, এমন অনেকগুলি রয়েছে যা ডেটা সেন্টারগুলিতে এবং পিসিগুলিতে এক মিলিয়নেরও বেশি আপসযুক্ত ডিভাইসে বোটনেট পেয়েছিল। কিছু হ'ল লাভজনক ব্যবসা রয়েছে যা দীর্ঘদিন ধরে চলেছে, এবং তারপরে সরকারী গোষ্ঠী রয়েছে, যা আমি উল্লেখ করেছি।এর সম্ভাব্যতা যেমন এরিক বলেছিলেন, এর অসম্ভব সম্ভাবনা এই ঘটনাটি কখনও শেষ হতে চলেছে।
সুতরাং, এটি একটি আকর্ষণীয় হ্যাক আমি কেবল ভেবেছিলাম আইডি এটি উল্লেখ করেছে, কারণ এটি মোটামুটি সাম্প্রতিক হ্যাক ছিল; এটি গত বছর ঘটেছে। ইথেরিয়াম ক্রিপ্টো মুদ্রার সাথে সম্পর্কিত ডিএও চুক্তিতে একটি দুর্বলতা ছিল। এবং এটি একটি ফোরামে আলোচনা করা হয়েছিল, এবং এক দিনের মধ্যে, ডিএও চুক্তিটি হ্যাক হয়ে যায়, সেই দুর্বলতাটিকে স্পষ্টভাবে ব্যবহার করে। Ther 50 মিলিয়ন ইথার ইফতার করা হয়েছিল, এটি ডিএও প্রকল্পে তাত্ক্ষণিক সংকট সৃষ্টি করে এবং এটি বন্ধ করে দেয়। এবং ইথেরিয়াম আসলে হ্যাকারকে অর্থের অ্যাক্সেস থেকে দূরে রাখতে চেষ্টা করার চেষ্টা করেছিল এবং তারা একরকম তার গ্রহণ কমিয়ে দিয়েছে। তবে এটিও বিশ্বাস করা হয়েছিল - নিশ্চিতভাবে জানা যায়নি - হ্যাকার আসলে তার আক্রমণের আগে ইথারের দাম কমিয়ে দিয়েছিল, এই বিষয়টি জেনে যে ইথারের দাম হ্রাস পাবে এবং এভাবে অন্য উপায়ে লাভ হয়েছিল।
এবং অন্যটিও পছন্দ করে, যদি আপনি পছন্দ করেন তবে স্ট্রেটেজ যা হ্যাকাররা ব্যবহার করতে পারে। যদি তারা আপনার শেয়ারের দামটি ক্ষতি করতে পারে এবং তারা জানে যে তারা এটি করে, তবে তাদের পক্ষে শেয়ারের দামটি হ্রাস করা এবং হ্যাক করা একমাত্র প্রয়োজনীয়, তাই এর ধরণের, এই ছেলেরা স্মার্ট, আপনি জানেন। এবং দাম হ'ল অর্থ, ব্যাঘাত এবং মুক্তিপণের চুরি, যেখানে আপনি বিনিয়োগ ব্যাহত করে এবং স্টক, নাশকতা, পরিচয় চুরি, সমস্ত ধরণের কেলেঙ্কারীর সংক্ষিপ্তসার, কেবল বিজ্ঞাপনের জন্য। এবং এটি রাজনৈতিক বা স্পষ্টতই, গুপ্তচরবৃত্তি গুপ্তচরবৃত্তি করে এবং এমন কিছু লোকও রয়েছে যা আপনি গুগল, অ্যাপল - এমনকি পেন্টাগনকে হ্যাক করার চেষ্টা করে যে বাগ বাগ্টিগুলি অর্জন করতে পারেন তা থেকে জীবিকা নির্বাহ করেন even এমনকি পেন্টাগন আসলে বাগ বাগান্টি দেয়। এবং আপনি শুধু হ্যাক; যদি এটি সফল হয়, তবে আপনি কেবল গিয়ে নিজের পুরষ্কারটির দাবি করুন, এবং কোনও ক্ষতি করা হয়নি, সুতরাং এটি একটি দুর্দান্ত জিনিস you
আমি পাশাপাশি সম্মতি এবং নিয়ন্ত্রণ উল্লেখ করতে পারে। ক্ষেত্রের উদ্যোগগুলি বাদ দিয়ে, সরকারী বিধিবিধানগুলির প্রচুর পরিমাণে চাপ পড়ে: হিপ্পা, এসওএক্স, ফিসমা, ফেরপা এবং জিএলবিএ সমস্ত মার্কিন আইন। মান আছে; পিসিআই-ডিএসএস মোটামুটি সাধারণ স্ট্যান্ডার্ডে পরিণত হয়েছে। এবং তারপরে তথ্যের মালিকানা সম্পর্কে আইএসও 17799 রয়েছে। জাতীয় বিধিবিধানগুলি দেশ থেকে আলাদা, এমনকি ইউরোপেও আলাদা। এবং বর্তমানে জিডিপিআর - গ্লোবাল ডেটা, এটি কীসের পক্ষে দাঁড়ায়? গ্লোবাল ডেটা প্রোটেকশন রেগুলেশন, আমি মনে করি এটি এর জন্য দাঁড়িয়েছে - তবে পরের বছর কার্যকর হবে বলে জানিয়েছে। এবং এটি সম্পর্কে মজার বিষয় হ'ল এটি বিশ্বজুড়ে প্রযোজ্য। আপনি যদি 5,000 বা ততোধিক গ্রাহক পেয়ে থাকেন তবে আপনি ব্যক্তিগত তথ্য পেয়েছেন এবং তারা ইউরোপে থাকেন, তবে আপনার কর্পোরেশনটি সদর দফতর, বা এটি কোথায় কাজ করছে তা নির্বিশেষে ইউরোপ আপনাকে বাস্তবায়িত করবে। এবং জরিমানা, সর্বাধিক জরিমানা হল বার্ষিক রাজস্বের চার শতাংশ, যা মাত্র বিশাল, যাতে এটি কার্যকর হয় যখন বিশ্বের এক আকর্ষণীয় মোড় হয়।
চিন্তা করার বিষয়গুলি, ভাল, ডিবিএমএস দুর্বলতা, বেশিরভাগ মূল্যবান ডেটা আসলে ডাটাবেসে বসে থাকে। এটি মূল্যবান কারণ আমরা এটিকে সহজলভ্য করে তুলতে এবং এটির সুসংগঠিত করতে একটি ভয়ঙ্কর সময় ব্যয় করি এবং এটি আপনাকে আরও দুর্বল করে তোলে যদি আপনি সত্যিকারের সঠিক DBMS সিকিওরিটিগুলি প্রয়োগ না করেন। স্পষ্টতই, আপনি যদি এই জাতীয় জিনিসের জন্য পরিকল্পনা করতে চলেছেন তবে আপনাকে বিভিন্ন সংস্থা জুড়ে কী কী ঝুঁকিপূর্ণ ডেটা রয়েছে তা সনাক্ত করতে হবে, মনে রাখবেন যে বিভিন্ন কারণে ডেটা দুর্বল হতে পারে। এটি গ্রাহকের ডেটা হতে পারে তবে এটি সমানভাবে অভ্যন্তরীণ দলিল হতে পারে যা গুপ্তচরবৃত্তি উদ্দেশ্যে এবং এর জন্য আরও মূল্যবান হতে পারে। সুরক্ষা নীতি, বিশেষত অ্যাক্সেস সুরক্ষার সাথে সম্পর্কিত - যা সাম্প্রতিক সময়ে আমার মতে খুব দুর্বল, নতুন ওপেন সোর্স স্টাফের ক্ষেত্রে - এনক্রিপশন আরও ব্যবহৃত হচ্ছে কারণ এটি বেশ শক্তিশালী।
সুরক্ষা লঙ্ঘনের ব্যয়, বেশিরভাগ লোকই জানতেন না, তবে আপনি যদি সুরক্ষা লঙ্ঘনের শিকার সংস্থাগুলির সাথে কী ঘটেছিল তা যদি আপনি সত্যিই লক্ষ্য করেন তবে এটি প্রমাণিত হয় যে সুরক্ষা লঙ্ঘনের ব্যয় প্রায়শই আপনার ভাবার চেয়ে অনেক বেশি হয়। এবং তারপরে অন্য জিনিসটি ভাবার বিষয়টি হ'ল আক্রমণ আক্রমণ, কারণ আপনার সংস্থাগুলির সাথে যে কোনও জায়গায় যে কোনও সফ্টওয়্যার চালানো হচ্ছে আক্রমণ আক্রমণ উপস্থাপন করে। সুতরাং যেকোন ডিভাইসই করুন, ডেটা যেমন করে তা কোনওভাবে সঞ্চিত হয় না। সব মিলিয়ে, আক্রমণগুলির পৃষ্ঠগুলি ইন্টারনেটের সাথে বাড়ছে, আক্রমণ পৃষ্ঠটি সম্ভবত দ্বিগুণ হতে চলেছে।
সুতরাং, শেষ পর্যন্ত, ডিবিএ এবং ডেটা সুরক্ষা। ডেটা সুরক্ষা সাধারণত ডিবিএর ভূমিকার অংশ। তবে এর সহযোগীও। এবং এটি কর্পোরেট নীতি সাপেক্ষে হওয়া প্রয়োজন, অন্যথায় এটি সম্ভবত কার্যকরভাবে প্রয়োগ করা হবে না। এই বলে, আমি মনে করি আমি বলটি পাস করতে পারি।
এরিক কাভানাঘ: ঠিক আছে, আমাকে উইকির চাবিগুলি দিন। এবং আপনি আপনার স্ক্রিনটি ভাগ করতে বা এই স্লাইডগুলিতে সরাতে পারেন, এটি আপনার কাছে রয়েছে, এটিকে সরিয়ে ফেলুন।
ভিকি হার্প: না, আমি এই স্লাইডগুলি দিয়ে শুরু করব, আপনাকে অনেক ধন্যবাদ। সুতরাং, হ্যাঁ, আমি কেবল একটি দ্রুত মুহূর্তটি নিয়ে নিজের পরিচয় দিতে চাইছিলাম। আমি ভিকি হার্প। আমি একজন পরিচালক, আইডিআরএ সফ্টওয়্যারটিতে এসকিউএল পণ্যগুলির জন্য পণ্য পরিচালনা এবং আপনারা যারা আমাদের সাথে পরিচিত নন, আইডেরার বেশ কয়েকটি প্রোডাক্ট লাইন রয়েছে তবে আমি এখানে এসকিউএল সার্ভারের পক্ষে কথা বলছি। এবং তাই, আমরা পারফরম্যান্স মনিটরিং, সুরক্ষা সম্মতি, ব্যাকআপ, প্রশাসনের সরঞ্জামগুলি - এবং এটির জন্য কেবলমাত্র তাদের তালিকা। এবং অবশ্যই, আমি এখানে আজ যে বিষয়ে কথা বলব তা হ'ল সুরক্ষা এবং সম্মতি।
আমি আজ যে বিষয়ে কথা বলতে চাইছি তার বেশিরভাগ অংশই আমাদের পণ্যগুলি প্রয়োজনীয় নয়, যদিও আমি পরে এর কয়েকটি উদাহরণ দেখানোর ইচ্ছা করি। আমি আপনার সাথে ডাটাবেস সুরক্ষা সম্পর্কে আরও কথা বলতে চেয়েছিলাম, এখনই ডাটাবেস সুরক্ষার জগতে কিছু হুমকী, কিছু ভাবার বিষয়, এবং আপনার এসকিউএল সুরক্ষিত করার জন্য আপনাকে কী কী সন্ধান করতে হবে তার প্রবর্তক ধারণা সম্পর্কে সার্ভার ডাটাবেসগুলি এবং এটিও নিশ্চিত করা হয়েছে যে তারা যে নিয়ন্ত্রক কাঠামোর সাথে আপনি সম্মতিযুক্ত হতে পারেন তা মেনে চলছে, যেমনটি উল্লেখ করা হয়েছিল। জায়গায় বিভিন্ন বিধি আছে; তারা বিশ্বব্যাপী বিভিন্ন শিল্পে, বিভিন্ন জায়গায় যায় এবং এগুলি চিন্তা করার বিষয়।
সুতরাং, আমি একধরনের সময় নিতে চাই এবং তথ্য লঙ্ঘনের পরিস্থিতি সম্পর্কে কথা বলতে চাই - এবং ইতিমধ্যে এখানে যে আলোচনা করা হয়েছে তার খুব বেশি পুনরাবৃত্তি না করতে - আমি সম্প্রতি এই ইন্টেল সুরক্ষা গবেষণা গবেষণাটি দেখছিলাম এবং তাদের জুড়ে - আমি মনে করি ১৫০০ বা তারও বেশি সংস্থার সাথে তারা কথা বলেছিল - ডেটা হ্রাস লঙ্ঘনের ক্ষেত্রে তাদের গড়ে ছয়টি সুরক্ষা লঙ্ঘন হয়েছিল এবং এর মধ্যে percent৮ শতাংশের কিছুটা হলেও প্রকাশের প্রয়োজন ছিল, তাই তারা শেয়ারের দামকে প্রভাবিত করেছিল, বা তাদের কিছু ক্রেডিট করতে হয়েছিল তাদের গ্রাহক বা তাদের কর্মীদের জন্য নিরীক্ষণ, ইত্যাদি।
কিছু আকর্ষণীয় অন্যান্য পরিসংখ্যান হ'ল অভ্যন্তরীণ অভিনেতারা যারা 43৩ শতাংশের জন্য দায়ী ছিলেন। সুতরাং, অনেক লোক হ্যাকার এবং এই জাতীয় ছায়াময় সরকারী সংস্থা বা সংগঠিত অপরাধ ইত্যাদি সম্পর্কে প্রচুর পরিমাণে ধারণা পোষণ করে তবে অভ্যন্তরীণ অভিনেতারা এখনও তাদের নিয়োগকারীদের বিরুদ্ধে সরাসরি পদক্ষেপ নিচ্ছে, মামলার একটি উচ্চতর অনুপাতে। এবং এগুলি কখনও কখনও এর বিরুদ্ধে রক্ষা করা আরও কঠিন, কারণ লোকেরা সেই ডেটা অ্যাক্সেস করার বৈধ কারণ থাকতে পারে। এর প্রায় অর্ধেক, 43 শতাংশ এক অর্থে দুর্ঘটনাজনিত ক্ষতি ছিল। সুতরাং, উদাহরণস্বরূপ, যেখানে কেউ ডেটা বাড়িতে নিয়েছে এবং তারপরে সেই ডেটা ট্র্যাক হারিয়ে ফেলেছে, যা আমাকে এই তৃতীয় পয়েন্টে নিয়ে যায়, এটি হ'ল শারীরিক মিডিয়ায় স্টাফ এখনও 40% লঙ্ঘনের সাথে জড়িত ছিল। সুতরাং, ইউএসবি কীগুলি চালিত করে, লোকের ল্যাপটপগুলিকে চালিত করে, প্রকৃত মিডিয়াটিকে শারীরিক ডিস্কে পুড়িয়ে ফেলা হয় এবং বিল্ডিংয়ের বাইরে নিয়ে যায়।
আপনি যদি ভাবেন, আপনার কি এমন বিকাশকারী আছে যাঁর ল্যাপটপে আপনার প্রোডাকশন ডেটাবেজের একটি অনুলিপি আছে? তারপরে তারা একটি বিমানে উঠতে যায় এবং তারা বিমান থেকে নেমে যায় এবং তারা চেক করা লাগেজ পায় এবং তাদের ল্যাপটপটি চুরি হয়ে যায়। আপনার এখন একটি ডেটা লঙ্ঘন হয়েছে। আপনি অগত্যা ভাবতে পারেন না যে সেই ল্যাপটপটি কেন নেওয়া হয়েছিল, এটি বুনোতে কখনও প্রদর্শিত হবে না। তবে এটি এখনও কিছু লঙ্ঘন হিসাবে গণ্য হয়েছে, এটির প্রকাশের প্রয়োজন হবে, কেবলমাত্র সেই শারীরিক মিডিয়া হারিয়ে যাওয়ার কারণে আপনার সেই তথ্যটি হারিয়ে যাওয়ার সমস্ত প্রবাহের প্রভাব পড়বে।
এবং অন্যান্য আকর্ষণীয় বিষয়টি হ'ল প্রচুর লোক ক্রেডিট ডেটা এবং ক্রেডিট কার্ডের তথ্যকে সর্বাধিক মূল্যবান বলে ভাবছে, তবে আসলে এটি আর হয় না। এই ডেটাটি মূল্যবান, ক্রেডিট কার্ড নম্বরগুলি কার্যকর, তবে সত্যই, এই সংখ্যাগুলি খুব দ্রুত পরিবর্তন করা হয়, যেখানে লোকেরা ব্যক্তিগত ডেটা খুব দ্রুত পরিবর্তিত হয় না। সাম্প্রতিক সংবাদ আইটেম, তুলনামূলকভাবে সাম্প্রতিক, খেলনা প্রস্তুতকারক ভিটেকের কাছে এই খেলনা ছিল যা বাচ্চাদের জন্য ডিজাইন করা হয়েছিল। এবং লোকেরা তাদের বাচ্চাদের নাম রাখত, বাচ্চাগুলি কোথায় থাকে সে সম্পর্কে তাদের তথ্য থাকতে পারে, তাদের বাবা-মায়ের নাম ছিল, তাদের বাচ্চাদের ছবি ছিল। এর কোনওটিই এনক্রিপ্ট করা হয়নি, কারণ এটি গুরুত্বপূর্ণ হিসাবে বিবেচিত হত না। তবে তাদের পাসওয়ার্ডগুলি এনক্রিপ্ট করা ছিল। ঠিক আছে, যখন লঙ্ঘনটি অনিবার্যভাবে ঘটেছিল, আপনি বলছেন, "ঠিক আছে, তাই আমার কাছে বাচ্চাদের নাম, তাদের পিতামাতার নাম, তারা কোথায় থাকেন - এর একটি তথ্য রয়েছে - এই সমস্ত তথ্য রয়েছে এবং আপনি ভাবছেন যে পাসওয়ার্ডটি সবচেয়ে মূল্যবান অংশ ছিল এটা? ”এটা ছিল না; লোকেরা তাদের ব্যক্তিগত তথ্য, তাদের ঠিকানা ইত্যাদি সম্পর্কে সেই দিকগুলি পরিবর্তন করতে পারে না এবং যাতে তথ্যটি আসলে খুব মূল্যবান হয় এবং এটি সুরক্ষিত করা দরকার।
সুতরাং, এখন চলছে এমন কিছু বিষয় নিয়ে কথা বলতে চেয়েছিল যেভাবে তথ্য লঙ্ঘন হচ্ছে সেভাবে অবদান রাখতে। বড় হটস্পটগুলির মধ্যে এখনই একটি স্পেস, সামাজিক প্রকৌশল। তাই লোকেরা এটিকে ফিশিং বলে, ছদ্মবেশ ধারণ করে ইত্যাদি, যেখানে লোকেরা অভ্যন্তরীণ অভিনেতাদের মাধ্যমে প্রায়শই ডেটা অ্যাক্সেস পাচ্ছে, তাদের কেবল এটি নিশ্চিত করেই যে এটির অ্যাক্সেস রয়েছে। সুতরাং, মাত্র অন্য দিন, আমাদের চারপাশে চলমান এই গুগল ডক্স কীট ছিল। এবং এটি কী হবে - এবং আমি আসলে এটির একটি অনুলিপি পেয়েছি, যদিও সৌভাগ্যবশত আমি এটিতে ক্লিক করি নি - আপনি একজন সহকর্মীর কাছ থেকে পেয়ে যাচ্ছিলেন, বলছিলেন, “হেইস গুগল ডকের লিংক; আমি সবেমাত্র আপনার সাথে কী ভাগ করেছি তা দেখার জন্য আপনাকে এই ক্লিক করতে হবে ”" ওয়েল, গুগল ডক্স ব্যবহার করা এমন একটি প্রতিষ্ঠানে খুব প্রচলিত, আপনি দিনে কয়েক ডজন অনুরোধ পেয়ে যাচ্ছেন। আপনি যদি এটিতে ক্লিক করেন, তবে আপনাকে এই দস্তাবেজটি অ্যাক্সেস করার অনুমতি চাইতে হবে, এবং আপনি বলতে পারেন, "আরে, এটি কিছুটা অদ্ভুত লাগছে, তবে আপনি জানেন, এটিও বৈধ বলে মনে হচ্ছে, তাই আমি এগিয়ে গিয়ে এটিতে ক্লিক করব, ”এবং আপনি এটি করার সাথে সাথে আপনি এই সমস্ত তৃতীয় পক্ষকে আপনার সমস্ত Google ডকুমেন্টে অ্যাক্সেস দিচ্ছেন, এবং তাই, Google ড্রাইভে আপনার সমস্ত নথিতে অ্যাক্সেস পাওয়ার জন্য এই বাহ্যিক অভিনেতার জন্য এই লিঙ্কটি তৈরি করা হয়েছিল। এই জায়গা জুড়ে উদ্বেগ। এটি কয়েক ঘন্টা কয়েক লক্ষ মানুষকে আঘাত করে। এবং এটি মূলত একটি ফিশিং আক্রমণ ছিল যা গুগল নিজেই বন্ধ করে দিয়েছিল, কারণ এটি খুব ভালভাবে কার্যকর হয়েছিল। লোকেরা এর জন্য পড়েছিল।
আমি এখানে স্ন্যাপচ্যাট এইচআর লঙ্ঘন উল্লেখ করছি। এই এইচআর ডিপার্টমেন্টে তথ্যপ্রযুক্তি দিয়ে সিইও ছিলেন এমন একজনের ইঙ্গিত দিয়েছিলেন, "এই স্প্রেডশিটটি আমার কাছে আপনার দরকার আমার।" তারা বিশ্বাস করেছিল, এবং তারা 700 জন কর্মচারীদের ক্ষতিপূরণ সহ একটি স্প্রেডশিট রেখেছিল। তথ্য, তাদের বাড়ির ঠিকানা, ইত্যাদি, এটিকে অন্য কোনও পক্ষেই এডিট করুন, এটি আসলে সিইও ছিল না। এখন, ডেটা বাইরে ছিল, এবং তাদের সমস্ত কর্মচারী ব্যক্তিগত, ব্যক্তিগত তথ্য সেখানে ছিল এবং শোষণের জন্য উপলব্ধ ছিল। সুতরাং, সোশ্যাল ইঞ্জিনিয়ারিং এমন একটি বিষয় যা আমি এটি ডাটাবেসের জগতে উল্লেখ করেছি, কারণ এটি এমন একটি বিষয় যা আপনি শিক্ষার মাধ্যমে প্রতিরক্ষা করার চেষ্টা করতে পারেন তবে আপনাকে কেবল মনে রাখতে হবে যে আপনি যে কোনও জায়গায় আপনার প্রযুক্তির সাথে যোগাযোগ করছেন এবং আপনি যদি বিভ্রাট রোধ করতে তাদের সুবিচারের উপর নির্ভর করেন তবে আপনি তাদের অনেকগুলি জিজ্ঞাসা করছেন।
লোকেরা ভুল করে, লোকেরা তাদের থাকা উচিত নয় এমন কিছুর উপরে ক্লিক করে, লোকে চতুর ক্ষতির জন্য পড়ে। এবং আপনি এর বিরুদ্ধে তাদের রক্ষা করার জন্য খুব চেষ্টা করতে পারেন, তবে এটি যথেষ্ট শক্তিশালী নয়, আপনার ডেটাবেস সিস্টেমগুলিতে লোকেরা দুর্ঘটনাক্রমে এই তথ্য দেওয়ার ক্ষমতা সীমাবদ্ধ করার চেষ্টা করতে হবে। অন্য যে বিষয়টি আমি উল্লেখ করতে চেয়েছিলাম যে স্পষ্টতই অনেকগুলি কথা বলছিল তা হ'ল ransomware, বোটনেটস, ভাইরাস - এই সমস্ত স্বয়ংক্রিয় পদ্ধতি। আর তাই আমি র্যানসওয়ওয়ার সম্পর্কে যা বোঝার জন্য গুরুত্বপূর্ণ বলে মনে করি তা হ'ল এটি কি আক্রমণকারীদের জন্য লাভের মডেলটি সত্যই পরিবর্তন করে। আপনি যে কোনও লঙ্ঘনের কথা বলছেন সেই ক্ষেত্রে, তাদের কিছুটা অর্থে ডেটা বের করতে হবে এবং তা নিজের কাছে রাখতে হবে এবং এটি ব্যবহার করতে হবে। এবং যদি আপনার ডেটা অস্পষ্ট হয়, যদি এটির এনক্রিপ্ট থাকে, যদি এর শিল্প নির্দিষ্ট হয়, তবে তারা এর কোনও মূল্য রাখবে না।
এই অবধি অবধি লোকেরা অনুভব করেছিল যে এটি তাদের জন্য সুরক্ষা ছিল, "আমাকে কোনও তথ্য লঙ্ঘন থেকে নিজেকে রক্ষা করার দরকার নেই, কারণ যদি তারা আমার সিস্টেমে প্রবেশ করতে চলেছে তবে সমস্ত কিছু হ'ল আমি একজন ফটোগ্রাফি স্টুডিও Im , আমার পরের বছরের জন্য কোন দিন আসবে তাদের তালিকা রয়েছে। কে এই সম্পর্কে যত্নশীল? "আচ্ছা, এটির উত্তরটি দেখা যাচ্ছে যে আপনি সে সম্পর্কে যত্নশীল; আপনি সেই তথ্যটি সংরক্ষণ করছেন, এটি আপনার ব্যবসায়িক-সমালোচনা তথ্য। সুতরাং, মুক্তযোদ্ধার ব্যবহার করে একজন আক্রমণকারী বলবেন, "ঠিক আছে, আর কেউ আমাকে এর জন্য টাকা দেবে না, তবে আপনি যাবেন” "সুতরাং, তারা এই সত্যটি উপস্থাপন করেছেন যে তাদের এমনকি ডেটা বের করতে হবে না, এমনকি তাদেরকেও করতে হবে না লঙ্ঘন হয়, তাদের কেবল আপনার বিরুদ্ধে আক্রমণাত্মক সুরক্ষা সরঞ্জাম ব্যবহার করা দরকার। তারা আপনার ডাটাবেসে প্রবেশ করে, তারা এর সামগ্রীগুলি এনক্রিপ্ট করে এবং তারপরে তারা বলে, "ঠিক আছে, আমাদের কাছে পাসওয়ার্ড রয়েছে এবং সেই পাসওয়ার্ডটি পেতে আপনাকে আমাদের $ 5,000 দিতে হবে, অন্যথায় আপনার আর এই ডেটা নেই। "
এবং লোকেরা মূল্য পরিশোধ করে; তারা নিজেরাই এটি করতে পেল। কয়েক মাস আগে মঙ্গোডিবি এক ধরণের বিশাল সমস্যা পেয়েছিল, আমার ধারণা, এটি জানুয়ারিতে হয়েছিল, যেখানে কিছুটা ডিফল্ট সেটিংসের ভিত্তিতে রোনমওয়্যার হিট করেছে, আমি মনে করি, তারা লক্ষ লক্ষ মঙ্গোডিবি ডাটাবেজে ইন্টারনেটে প্রকাশ করেছে। এবং এটিকে আরও খারাপ করে দিয়েছে যে লোকেরা অর্থ প্রদান করছিল এবং অন্য সংস্থাগুলি এসে পুনরায় এনক্রিপ্ট করবে বা দাবি করবে যে এটিরাই মূলত এটি এনক্রিপ্ট করেছিল, তাই যখন আপনি আপনার অর্থ প্রদান করেছিলেন, এবং আমি মনে করি সে ক্ষেত্রে তারা ছিল 500 ডলারের মতো কিছু চাইলে লোকেরা বলত, "ঠিক আছে, আমি কী কী ভুল হয়েছে তা বুঝতে সাহায্য করার জন্য এখানে একজন গবেষককে এখানে আসার জন্য অর্থ প্রদানের চেয়ে আরও বেশি দিতে হবে। আমি কেবল $ 500 দিতে হবে। "এবং তারা এটি সঠিক অভিনেতাকে প্রদান করতেও চাইছিল না, তাই তারা দশটি বিভিন্ন সংস্থাকে তাদের" পেল পাসওয়ার্ডটি পেয়েছে, "বা" আপনার মুক্তিপণ প্রাপ্ত ডেটা আনলক করার জন্য উপায় পেয়েছে "তা দিয়ে পোস্ট করা হবে । "এবং সম্ভবত এটির কাজ করার জন্য আপনাকে তাদের সকলকে প্রদান করতে হবে।
থেরেসে এমনও ঘটনা ঘটেছিল যেখানে মুক্তিপণ লেখকরা বাগগুলি রেখেছিলেন, আমি বলতে চাইছি এটি একেবারে উপরের বোর্ডের পরিস্থিতি হিসাবে কথা বলছিল না, সুতরাং একবার আক্রমণ করার পরেও একবার আপনি অর্থ প্রদান করার পরেও কোনও গ্যারান্টি নেই যে আপনি আপনার সমস্ত কিছু পেয়ে যাচ্ছেন ডেটা ফিরে, এটিকে কিছু অস্ত্রযুক্ত ইনফো সেক সরঞ্জাম দ্বারা জটিল করা হচ্ছে। সুতরাং ছায়া দালালরা এমন একটি গ্রুপ যা এনএসএ থেকে আসা সরঞ্জামগুলি ফাঁস করে চলেছে। তারা গুপ্তচরবৃত্তির উদ্দেশ্যে এবং প্রকৃতপক্ষে অন্যান্য সরকারী সত্তার বিরুদ্ধে কাজ করার উদ্দেশ্যে সরকারী সত্তা দ্বারা ডিজাইন করা সরঞ্জাম ছিল। এর মধ্যে কয়েকটি হ'ল হাই প্রোফাইলে শূন্য-দিনের আক্রমণ ছিল যা মূলত পরিচিত সুরক্ষা প্রোটোকলকে কেবল একপাশে ফেলে দেয়। এবং তাই এসএমবি প্রোটোকলে একটি বড় দুর্বলতা ছিল উদাহরণস্বরূপ, সাম্প্রতিক শ্যাডো ব্রোকারের ডাম্পগুলিতে।
এবং সুতরাং এখানে আসা এই সরঞ্জামগুলি কয়েক ঘন্টা পরে আপনার আক্রমণ পৃষ্ঠের দিক থেকে সত্যই আপনার উপর গেমটি পরিবর্তন করতে পারে। সুতরাং যখনই আমি এই সম্পর্কে ভাবছি, এটির এমন কিছু যা একটি সাংগঠনিক স্তরে, সুরক্ষা ইনফোসেক তার নিজস্ব কাজ, এটি গুরুত্ব সহকারে নেওয়া দরকার। যখনই ডেটাবেস সম্পর্কে কথা বলছিলাম, আমি এটিকে কিছুটা নামিয়ে আনতে পারব, এই সপ্তাহে ছায়া ব্রোকারদের সাথে কী চলছে সে সম্পর্কে আপনার অবশ্যই একটি ডাটাবেস অ্যাডমিনিস্ট্রেটর হিসাবে সম্পূর্ণ ধারণা থাকতে হবে না, তবে আপনাকে সচেতন হওয়া দরকার যে এগুলি সবই স্থানান্তরিত হচ্ছে , এমন কিছু চলছে এবং তাই আপনি নিজের ডোমেনটি যেভাবে আঁকেন এবং সুরক্ষিত রাখেন সেই ডিগ্রিটি আপনাকে সত্যিকার অর্থে সাহায্য করবে যাতে আপনার ধরণের জিনিসগুলি আপনার আওতাধীন হয়ে যায়।
সুতরাং, আমি এসকিউএল সার্ভার সম্পর্কে সুনির্দিষ্টভাবে কথা বলার আগে কিছুক্ষণ এখানে নিয়ে যেতে চেয়েছিলাম, ডাটাবেস সুরক্ষার সাথে কিছু বিবেচনা নিয়ে আমাদের প্যানেল সদস্যদের সাথে কিছুটা খোলামেলা আলোচনা করতে। সুতরাং, আমি এই মুহুর্তে পৌঁছেছি, আমরা কিছু উল্লেখ করেছি এমন কিছু বিষয়, আমি ভেক্টর হিসাবে এসকিউএল ইঞ্জেকশন সম্পর্কে কথা বলতে চেয়েছিলাম। সুতরাং, এটি এসকিউএল ইনজেকশন, স্পষ্টতই এর উপায় যা লোকেরা একটি ডাটাবেস সিস্টেমে কমান্ডগুলি সন্নিবেশ করায়, ইনপুটগুলিকে দূষিত করে।
এরিক কাভানাঘ: হ্যাঁ, আমি আসলে একজন লোকের সাথে সাক্ষাত করেছি - আমার মনে হয় এটি প্রায় অ্যান্ড্রুজ এয়ার ফোর্স বেসে ছিল - প্রায় পাঁচ বছর আগে একজন পরামর্শক যে আমি তার সাথে হলওয়েতে কথা বলছিলাম এবং আমরা যুদ্ধের গল্পগুলি ভাগ করে নিচ্ছিলাম - কোনও শঙ্কার উদ্দেশ্য ছিল না - এবং তিনি উল্লেখ করেছিলেন যে তাকে কেউ একজন সামরিক বাহিনীর মোটামুটি উচ্চপদস্থ সদস্যের সাথে পরামর্শ করার জন্য নিয়ে এসেছিল এবং লোকটি তাকে জিজ্ঞাসা করেছিল, "আচ্ছা, আমরা কীভাবে জানি যে আপনি কী করছেন তাতে ভাল আছেন?" এবং এই এবং এটি that এবং যখন তিনি তাদের কম্পিউটারে ব্যবহার করেছিলেন তাদের সাথে কথা বলছিলেন, নেটওয়ার্কে প্রবেশ করলেন, তিনি সেই বেসের জন্য এবং সেই লোকগুলির জন্য রেজিস্ট্রি পেতে এসকিউএল ইঞ্জেকশনটি ব্যবহার করেছিলেন। এবং তিনি যে ব্যক্তিদের সাথে কথা বলছেন সেগুলি খুঁজে পেল এবং তিনি কেবল তার মেশিনে তাকে দেখিয়েছিলেন! এবং লোকটির মতো ছিল, "আপনি এটি কীভাবে করেছিলেন?" তিনি বলেছিলেন, "ভাল, আমি এসকিউএল ইঞ্জেকশনটি ব্যবহার করেছি।"
সুতরাং, ঠিক পাঁচ বছর আগে, এবং এটি একটি বিমানবাহিনী বেস ছিল, তাই না? সুতরাং, আমি বলতে চাই, কন এর শর্তে, এই জিনিসটি এখনও খুব বাস্তব এবং এটি সত্যিই ভয়াবহ প্রভাব সহ ব্যবহার করা যেতে পারে। আমি বলতে চাইছি, আইডিতে রবিনের যে কোনও যুদ্ধের গল্প সম্পর্কে জানতে আগ্রহী, তবে এই সমস্ত কৌশল এখনও বৈধ। তারা এখনও অনেক ক্ষেত্রে ব্যবহৃত হয়, এবং এটি নিজেকে শিক্ষিত করার প্রশ্ন, তাই না?
রবিন ব্লোর: হ্যাঁ ঠিক. হ্যাঁ, কাজটি করে এসকিউএল ইঞ্জেকশনের বিরুদ্ধে রক্ষা করা সম্ভব। ধারণাটি কেন প্রথম আবিষ্কার করা হয়েছিল এবং এটি প্রথম প্রসারিত হয়েছিল কেন এটি সহজেই বুঝতে পারা যায় কেন এটি সফলভাবে বিধ্বস্ত হয়েছিল, কারণ আপনি কেবল এটি একটি ওয়েব পৃষ্ঠায় একটি ইনপুট ক্ষেত্রে আটকে রাখতে পারেন এবং এটি আপনার জন্য ডেটা ফেরত পেতে, বা পেতে পারেন এটি ডাটাবেস, বা যে কোনও কিছুর ডেটা মুছতে পারে - এটি করতে আপনি কেবল এসকিউএল কোডটি ইনজেক্ট করতে পারেন। তবে এটি আমার আগ্রহী বিষয়টি হ'ল এটিই আপনি জানেন, আপনাকে প্রবেশ করানো প্রতিটি ডাটা টুকরো করে কিছুটা পার্সিং করতে হবে, তবে কেউ কেউ এটি করার চেষ্টা করছে তা স্পষ্ট করে পাওয়া সম্ভব। এবং এটি সত্যিই, আমি এটি সত্যই বলে মনে করি, কারণ মানুষ এখনও এ থেকে দূরে সরে যায়, আমি এর অর্থ সত্যিই আশ্চর্যের সাথে বলতে পারি যে এটির বিরুদ্ধে লড়াই করার সহজ উপায় ছিল না। আপনি জানেন যে প্রত্যেকে সহজেই ব্যবহার করতে পারত, আমি বলতে চাই, যতদূর আমি জানি, সেখানে উইকি নেই, আছে?
ভিকি হার্প: ওয়েল, আসলে এসকিউএল আউজুরের মতো কিছু জিম্মি সমাধানের মধ্যে আমি মনে করি যে মেশিন লার্নিংয়ের উপর ভিত্তি করে বেশ কয়েকটি ভাল সনাক্তকরণ পদ্ধতি রয়েছে। সম্ভবত ভবিষ্যতে যা যা যা দেখা যাচ্ছিল তা হ'ল এমন একটি যা এক আকারের সাথে আসার চেষ্টাটি সবথেকে উপযুক্ত। আমি মনে করি উত্তরটি একটি আকারের সাথে মানানসই নয়, তবে আমাদের কাছে এমন মেশিন রয়েছে যা আপনার আকারটি কী তা শিখতে পারে এবং নিশ্চিত করতে পারে যে আপনি এটি উপযুক্ত? এবং যাতে আপনার যদি কোনও মিথ্যা ইতিবাচক থাকে তবে এর কারণ আপনি প্রকৃতপক্ষে অস্বাভাবিক কিছু করছেন, এটি আপনার অ্যাপ্লিকেশন যা করতে পারে তার সবই কঠোরতার সাথে সনাক্ত করতে এবং কঠোরতার সাথে নয়।
আমি মনে করি যে এর সত্যই এখনও এত প্রসারিত হওয়ার একটি কারণ হ'ল লোকেরা এখনও তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে এবং আইএসভিগুলির অ্যাপ্লিকেশনগুলির উপর নির্ভর করে এবং সেগুলি সময়ের সাথে সাথে সংঘটিত হয়।সুতরাং, আপনি এমন একটি প্রতিষ্ঠানের কথা বলছেন যা একটি ইঞ্জিনিয়ারিং অ্যাপ্লিকেশন কিনেছিল যা 2001 সালে লেখা হয়েছিল। এবং তারা এটি আপডেট করতে পারে নি, কারণ তখন থেকে কোনও বড় কার্যকরী পরিবর্তন ঘটেনি, এবং এর মূল লেখক ছিলেন একপ্রকার, তারা প্রকৌশলী ছিলেন না , তারা ডেটাবেস সুরক্ষা বিশেষজ্ঞ ছিলেন না, তারা অ্যাপ্লিকেশনটিতে সঠিক উপায়ে কাজ করতে পারেন নি এবং তারা ভেক্টর হিসাবে পরিণত হয়। আমার বোঝাপড়াটি হ'ল - আমি মনে করি এটি টার্গেট ডেটা লঙ্ঘন, সত্যই বড় একটি - আক্রমণকারী ভেক্টর তাদের শীতাতপ নিয়ন্ত্রণ সরবরাহকারীদের মধ্য দিয়ে একজন ছিল, তাই না? সুতরাং, এই তৃতীয় পক্ষের সাথে সমস্যাটি, আপনি যদি নিজের নিজস্ব বিকাশের দোকানে মালিক হন তবে আপনার সম্ভবত এই নিয়মগুলির কয়েকটি থাকতে পারে, যখনই তা উদারভাবে করা। একটি সংস্থা হিসাবে আপনার বিভিন্ন বিভিন্ন প্রোফাইল সহ কয়েক হাজার বা হাজার হাজার অ্যাপ্লিকেশন চলতে পারে। আমি মনে করি সেখানেই মেশিন লার্নিংটি আসতে চলেছে এবং আমাদের অনেক সাহায্য করা শুরু করবে।
আমার যুদ্ধের গল্পটি ছিল শিক্ষামূলক জীবনযাপন। আমি একটি এসকিউএল ইঞ্জেকশন আক্রমণ দেখতে পেয়েছি এবং এমন কিছু যা আমার কাছে কখনও ঘটেনি তা হ'ল সাধারণ পঠনযোগ্য এসকিউএল ব্যবহার করুন। আমি অবহেলিত পি এসকিউএল হলিডে কার্ড নামে এই জিনিসগুলি করি; আমি করতে চাই, আপনি এই এসকিউএলটিকে যতটা সম্ভব বিভ্রান্ত দেখায়। থেরেস অবহেলিত সি ++ কোড প্রতিযোগিতা যা এখন কয়েক দশক ধরে চলছে এবং এর ধরণের একই ধারণা। সুতরাং, আপনি আসলে যা পেয়েছিলেন তা এসকিউএল ইনজেকশন যা একটি উন্মুক্ত স্ট্রিং ফিল্ডে ছিল, এটি স্ট্রিংটি বন্ধ করে দিয়েছে, এটি সেমিকোলনে রেখেছিল, এবং তারপরে এটি এক্সিকিউট কমান্ডে রেখেছিল যে তারপরে একটি সংখ্যা ছিল এবং তারপরে এটি মূলত ব্যবহার করা হয়েছিল numbers নম্বরগুলিকে বাইনারিতে কাস্ট করার জন্য কাস্টিং কমান্ড এবং তারপরে অক্ষর মানগুলিতে এবং পরে এটি কার্যকর করে uting সুতরাং, এটি এমন নয় যে আপনি এমন কিছু দেখতে পেয়েছিলেন যা বলেছিল, "উত্পাদন টেবিল থেকে প্রারম্ভকরণটি মুছুন", এটি আসলে এমন সংখ্যাসূচক ক্ষেত্রগুলিতে ভরাট ছিল যা এটি দেখতে আরও শক্ত করে তোলে। এমনকি একবার আপনি এটি দেখেছেন, কী ঘটছে তা সনাক্ত করতে, এটি কিছু সত্যিকারের এসকিউএল শট লাগল, যা ঘটছিল তা অনুধাবন করতে সক্ষম হতে, কোন সময় অবশ্যই কাজটি ইতিমধ্যে সম্পন্ন হয়েছিল।
রবিন ব্লোর: এবং হ্যাকিংয়ের পুরো পৃথিবীতে একটি বিষয় হ'ল যে কেউ যদি কোনও দুর্বলতা খুঁজে পায় এবং এটি সফ্টওয়্যারটির একটি অংশে হয়ে থাকে যা সাধারণত বিক্রি হয়ে যায়, আপনি জানেন, প্রারম্ভিক সমস্যাগুলির মধ্যে একটি হ'ল ডাটাবেস পাসওয়ার্ড একটি ডেটাবেস ইনস্টল করার সময় আপনাকে দেওয়া হয়েছিল, প্রকৃত সত্যিকারের অনেকগুলি ডাটাবেস কেবল একটি ডিফল্ট ছিল। এবং প্রচুর ডিবিএ কেবল কখনও এটিকে পরিবর্তন করে না, এবং সেই কারণে আপনি তখন নেটওয়ার্কে প্রবেশ করতে পারবেন; আপনি কেবল সেই পাসওয়ার্ডটি চেষ্টা করতে পারেন এবং যদি এটি কাজ করে তবে ভাল, আপনি কেবল লটারি জিতেছেন। এবং মজার বিষয় হ'ল ডারনেট ওয়েবসাইটগুলিতে হ্যাকিং সম্প্রদায়ের মধ্যে সেই সমস্ত তথ্য খুব দক্ষ ও কার্যকরভাবে প্রচারিত। এবং তারা জানেন। সুতরাং, তারা বেশ কিছু খুঁজে নিতে পারে সেখানে কিছু খুঁজে বার করতে পারে, কয়েকটি উদাহরণ খুঁজে পেতে পারে এবং স্বয়ংক্রিয়ভাবে কিছু হ্যাকিংকে এটির কাজে লাগিয়ে দেয় এবং তারা উপস্থিত হয় re আর আমি মনে করি, অনেক লোক যারা কমপক্ষে পেরিফেরিতে আছেন এই সর্বোপরি, হ্যাকিং নেটওয়ার্ক দুর্বলতার পক্ষে কত দ্রুত প্রতিক্রিয়া জানায় তা আসলে বুঝতে পারবেন না।
ভিকি হার্প: হ্যাঁ, এটি এগিয়ে যাওয়ার আগে আমি আরেকটি বিষয় উল্লেখ করতে চাইছিলাম যা প্রমাণ করার জন্য এই ধারণাটি হ'ল এটি যা প্রচুর পপ করে যাচ্ছিল, এটি হ'ল একবার যখন আপনার শংসাপত্রগুলি কারও জন্যই চুরি হয়ে গেছে, যে কোনও জায়গায় সাইট, এই শংসাপত্রগুলি বোর্ড জুড়ে পুনরায় ব্যবহার করার চেষ্টা করা হবে। সুতরাং, আপনি যদি সদৃশ পাসওয়ার্ড ব্যবহার করছেন, বলুন, আপনার ব্যবহারকারীরা যদি এমনভাবে রাখেন তবে, কোনও শংসাপত্রের একটি সম্পূর্ণ বৈধ সেট বলে মনে হয় তার মাধ্যমে কেউ অ্যাক্সেস পেতে সক্ষম হতে পারে। সুতরাং, আসুন আমরা বলতে পারি যে আইভ আমার একই পাসওয়ার্ডটি আমাজন এবং আমার ব্যাঙ্কে এবং একটি ফোরামে এবং সেই ফোরাম সফ্টওয়্যার হ্যাক করা হয়েছিল, ভাল, তাদের কাছে আমার ব্যবহারকারীর নাম এবং আমার পাসওয়ার্ড রয়েছে। এবং তারপরে তারা একই ব্যবহারকারীর নাম অ্যামাজনে ব্যবহার করতে পারে বা তারা ব্যাঙ্কে এটি ব্যবহার করতে পারে। এবং যতদূর ব্যাঙ্ক সম্পর্কিত, এটি ছিল সম্পূর্ণ বৈধ লগইন। এখন, আপনি সম্পূর্ণ অনুমোদিত অ্যাক্সেসের মাধ্যমে ঘৃণ্য পদক্ষেপ নিতে পারেন।
সুতরাং, সেই ধরণের আবার অভ্যন্তরীণ লঙ্ঘন এবং অভ্যন্তরীণ ব্যবহার সম্পর্কে আমি যা বলছিলাম তা ফিরে যায়। আপনি যদি আপনার সংস্থার এমন লোকদের খুঁজে পেয়েছেন যা তারা বাহ্যিক অ্যাক্সেসের জন্য অভ্যন্তরীণ অ্যাক্সেসের জন্য তাদের একই পাসওয়ার্ড ব্যবহার করে থাকে তবে আপনি সম্ভবত এমন কোনও সম্ভাব্যতা পেয়েছেন যা অন্য কোনও সাইটে এসে আপনাকে লঙ্ঘনের মাধ্যমে নকল করতে পারে যা আপনি জানেন না। এবং এই তথ্য খুব দ্রুত ছড়িয়ে দেওয়া হয়। এর তালিকাগুলি রয়েছে, আমি মনে করি ট্রয় হান্টের দ্বারা "আমাকে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে চাপ দেওয়া হয়েছে", তিনি বলেছিলেন যে তার কাছে অর্ধ বিলিয়ন শংসাপত্র রয়েছে, যা হ'ল - যদি আপনি গ্রহের লোক সংখ্যা বিবেচনা করেন - সত্যিকারের প্রচুর শংসাপত্র যা শংসাপত্রের স্টাফিংয়ের জন্য উপলব্ধ করা হয়েছে।
সুতরাং, আমি কিছুটা গভীর থেকে পদক্ষেপ নেব এবং এসকিউএল সার্ভারের সুরক্ষা সম্পর্কে কথা বলব। এখন আমি বলতে চাই যে আমি আগামী 20 মিনিটের মধ্যে আপনার এসকিউএল সার্ভারটি সুরক্ষিত করার জন্য আপনাকে যা জানা দরকার তা আপনাকে দেওয়ার চেষ্টা করব না; এটি একটি লম্বা ক্রম কিছুটা মনে হয়। সুতরাং, এমনকি শুরু করার জন্য, আমি বলতে চাই যে অনলাইনে এমন কয়েকটি গ্রুপ এবং সংস্থান রয়েছে যা আপনি অবশ্যই গুগল করতে পারেন, বই রয়েছে, মাইক্রোসফ্টে সেরা অনুশীলনের নথি রয়েছে, এসকিউএল সার্ভারে পেশাদার সহযোগীদের জন্য একটি সুরক্ষা ভার্চুয়াল অধ্যায় রয়েছে, তারা নিরাপত্তা.পাস.আরোগ.আর.এতে রয়েছে এবং আমার বিশ্বাস, মাসিক ওয়েবকাস্ট এবং ওয়েবকাস্টগুলির রেকর্ডিংগুলি এসকিউএল সার্ভার সুরক্ষা কীভাবে করা যায় তার গভীরভাবে গভীরভাবে যেতে। তবে এগুলি এমন কিছু বিষয় যা আমি আপনাকে ডেটা পেশাদার হিসাবে, আইটি পেশাদার হিসাবে, ডিবিএ হিসাবে বলছি, আমি চাই আপনাকে এসকিউএল সার্ভারের সুরক্ষা সম্পর্কে জেনে রাখা উচিত।
সুতরাং প্রথমটি হচ্ছে শারীরিক সুরক্ষা। সুতরাং, যেমনটি আমি আগে বলেছিলাম, শারীরিক মিডিয়া চুরি করা এখনও অত্যন্ত সাধারণ। এবং তাই আমি যে দৃশ্যটি দেব মেশিনের সাথে দিয়েছিলাম, সেই ডেভ মেশিনে আপনার ডাটাবেসের একটি অনুলিপি যা চুরি হয়ে যায় - এটি একটি অতি সাধারণ ভেক্টরকে চালিত করে, এমন কোনও ভেক্টরকে আপনাকে সচেতন হতে হবে এবং এর বিরুদ্ধে ব্যবস্থা নেওয়ার চেষ্টা করতে হবে। ব্যাকআপ সুরক্ষার ক্ষেত্রেও এটি সত্য, সুতরাং আপনি যখনই আপনার ডেটা ব্যাক আপ করবেন তখন আপনাকে এটিকে এনক্রিপ্ট করে ব্যাক আপ করা দরকার, আপনাকে কোনও সুরক্ষিত স্থানে ব্যাক আপ করা দরকার। এই ডেটাটি যা ডেটাবেজে সত্যই সুরক্ষিত ছিল তার অনেক সময়, এটি টেস্ট মেশিনগুলিতে, ডিভাইসগুলির মাধ্যমে পেরিফেরি জায়গাগুলিতে প্রবেশ করা শুরু করার সাথে সাথে, আমরা প্যাচিংয়ের বিষয়ে কিছুটা কম যত্নশীল হই, আমরা কিছুটা কম পাই এর অ্যাক্সেস রয়েছে এমন লোকদের সম্পর্কে সাবধানতা অবলম্বন করুন। পরের জিনিসটি আপনি জানেন, আপনি বিভিন্ন প্রতিষ্ঠানের প্রচুর লোকের কাছ থেকে শোষণের জন্য উপলব্ধ আপনার প্রতিষ্ঠানের একটি জনসাধারণের ভাগ্যে এনক্রিপ্ট করা ডাটাবেস ব্যাকআপ পেয়েছেন। সুতরাং, শারীরিক সুরক্ষার কথা চিন্তা করুন এবং ঠিক তেমন সহজ, কেউ কি আপনার সার্ভারে একটি ইউএসবি কী লাগাতে পারে? আপনি যে অনুমতি দেওয়া উচিত নয়।
পরবর্তী আইটেমটি আমি আপনাকে প্ল্যাটফর্ম সুরক্ষা, তাই আপ-টু-ডেট ওএস, আপ টু ডেট প্যাচগুলি সম্পর্কে ভাবতে চাই। লোকেরা উইন্ডোজের পুরানো সংস্করণে, এসকিউএল সার্ভারের পুরানো সংস্করণে থাকার বিষয়ে কথা শুনে খুব ক্লান্তিকর মনে করে যে একমাত্র প্লে খেলতে হবে লাইসেন্সিং আপগ্রেডের ব্যয়, যা এটি নয়। আমরা সুরক্ষার সাথে আছি, এটি একটি স্রোত যা পাহাড়ের নীচে যেতে থাকে এবং সময় যতই যায়, আরও শোষণের সন্ধান পাওয়া যায়। এই ক্ষেত্রে মাইক্রোসফ্ট এবং অন্যান্য গোষ্ঠীগুলি যেমন হতে পারে, তারা পুরানো সিস্টেমগুলিকে এক পর্যায়ে আপডেট করবে এবং শেষ পর্যন্ত তারা সমর্থন ছাড়বে এবং তারা সেগুলি আর আপডেট করবে না, কারণ এটি রক্ষণাবেক্ষণের একমাত্র শেষ নয়।
এবং তাই, আপনাকে একটি সমর্থিত ওএসে থাকা প্রয়োজন এবং আপনার প্যাচগুলিতে আপ টু ডেট হওয়া দরকার এবং শ্যাডো ব্রোকারদের সাথে আমরা সম্প্রতি খুঁজে পেয়েছি, কিছু ক্ষেত্রে মাইক্রোসফ্টের আগত বড় বড় সুরক্ষা লঙ্ঘনের বিষয়ে অন্তর্দৃষ্টি থাকতে পারে, তার আগে তৈরি হওয়ার আগে প্রকাশ্যে প্রকাশের পূর্বে সর্বজনীন, সুতরাং নিজেকে যাতে সমস্ত ক্রম থেকে বিচ্যুত করে না দেয়। আইডি বরং ডাউনটাইম গ্রহণ করবে না, আইডি বরং অপেক্ষা করুন এবং তাদের প্রত্যেকটি পড়ুন এবং সিদ্ধান্ত নিন। কেন এই প্যাচটি ঘটেছিল তা জানতে পেরে কয়েক সপ্তাহ অবধি লাইনের নিচে নামার অবধি আপনি কী জানেন না। সুতরাং, যে শীর্ষে থাকুন।
আপনার ফায়ারওয়ালটি কনফিগার করা উচিত। এটি এসএনবি লঙ্ঘনের ক্ষেত্রে হতবাক হয়েছিল যে ফায়ারওয়ালটি ইন্টারনেটের জন্য পুরোপুরি উন্মুক্ত হয়ে কত লোক এসকিউএল সার্ভারের পুরানো সংস্করণগুলি চালাচ্ছিল, তাই যে কেউ তাদের সার্ভারের সাথে যা খুশি তাই করতে পারে could আপনার ফায়ারওয়াল ব্যবহার করা উচিত। আপনার ব্যবসাটি আপনি যেভাবে করছেন তার জন্য আপনাকে মাঝে মধ্যে নিয়মগুলি কনফিগার করতে হবে বা নির্দিষ্ট ব্যতিক্রম করতে হবে তা হ'ল অর্থ প্রদানের একটি ঠিক মূল্য। আপনার ডাটাবেস সিস্টেমগুলিতে আপনার পৃষ্ঠের ক্ষেত্রটি নিয়ন্ত্রণ করতে হবে - আপনি কি একই মেশিনে আইআইএসের মতো পরিষেবা বা ওয়েব সার্ভার সহ-ইনস্টল করছেন? আপনার ডেটাবেস এবং আপনার ব্যক্তিগত ডেটা হিসাবে একই মেমরি স্পেস ভাগ করে একই ডিস্ক স্পেস ভাগ করা? এটি না করার চেষ্টা করুন, এটিকে বিচ্ছিন্ন করার চেষ্টা করুন, পৃষ্ঠের ক্ষেত্রটি ছোট রাখুন, যাতে ডাটাবেসের শীর্ষে যে সমস্ত সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য আপনাকে এতটা চিন্তা করতে হবে না। আপনি শারীরিকভাবে এগুলি পৃথক করতে পারেন, প্ল্যাটফর্ম, এগুলি আলাদা করতে পারেন, নিজেকে সামান্য প্রশ্বাসের ঘর দিতে পারেন।
আপনার সমস্ত ডেটাতে অ্যাক্সেস রাখতে সক্ষম হয়ে সর্বত্র আপনার কাছে সুপার অ্যাডমিনদের চলমান থাকা উচিত নয়। ওএস অ্যাডমিন অ্যাকাউন্টগুলির অগত্যা আপনার ডাটাবেসটিতে বা এনক্রিপশনের মাধ্যমে ডাটাবেসে অন্তর্নিহিত ডেটা অ্যাক্সেসের প্রয়োজন হতে পারে না, যা ভালভাবে এক মিনিটের মধ্যে আলোচনা করে। এবং ডাটাবেস ফাইলগুলিতে অ্যাক্সেসের জন্য আপনাকে এটিও সীমাবদ্ধ করতে হবে। এর ধরণের নির্বোধ যদি আপনি বলতে চান, ভাল, কেউ ডাটাবেসের মাধ্যমে এই ডাটাবেসগুলি অ্যাক্সেস করতে পারবেন না; এসকিউএল সার্ভার নিজেই তাদের এটিকে অ্যাক্সেস করার অনুমতি দেবে না, তবে যদি তারা ঘুরতে পারে তবে প্রকৃত এমডিএফ ফাইলের একটি অনুলিপি নিতে পারে, কেবল এটিকে সরানো যায়, এটি তাদের নিজস্ব এসকিউএল সার্ভারের সাথে সংযুক্ত করুন, আপনি সত্যিই খুব বেশি অর্জন করেছেন।
এনক্রিপশন, সুতরাং এনক্রিপশন হ'ল বিখ্যাত দ্বিমুখী তরোয়াল। অনেকগুলি এনক্রিপশনের বিভিন্ন স্তর রয়েছে যা আপনি ওএস স্তরে করতে পারেন এবং এসকিউএল এবং উইন্ডোজের জন্য কাজ করার সমসাময়িক পদ্ধতিতে বিটলকার এবং ডাটাবেস পর্যায়ে এটি টিডিই বা স্বচ্ছ ডেটা এনক্রিপশন বলে। সুতরাং, আপনার ডেটা বিশ্রামে এনক্রিপ্ট করা ধরণের এই দুটি উপায়। আপনি যদি আরও ডেটা এনক্রিপ্ট করে আরও ব্যাপকভাবে রাখতে চান তবে আপনি এনক্রিপ্ট করতে পারেন - দুঃখিত, আমি এক ধরণের এগিয়ে এসেছি। আপনি এনক্রিপ্টযুক্ত সংযোগগুলি করতে পারেন যাতে এটি যখনই ট্রানজিটে থাকে, তখনও এটি এনক্রিপ্ট থাকে যাতে কেউ যদি শুনছে বা আক্রমণে মাঝখানে কোনও লোক থাকে, আপনি তারের উপর দিয়ে ডেটাটির কিছু সুরক্ষা পেয়েছেন। আপনার ব্যাকআপগুলি এনক্রিপ্ট করা দরকার, যেমন আমি বলেছিলাম, এগুলি অন্যের কাছে অ্যাক্সেসযোগ্য হতে পারে এবং তারপরে, আপনি যদি এটি স্মৃতিতে এবং ব্যবহারের সময় এনক্রিপ্ট করতে চান তবে কলাম এনক্রিপশন পেয়েছিলেন এবং তারপরে, এসকিউএল 2016 এর "সর্বদা এনক্রিপ্টড" এর ধারণাটি রয়েছে যেখানে এটি আসলে ডিস্কে, মেমরিতে, তারে এনক্রিপ্ট করা থাকে, অ্যাপ্লিকেশনটিতে যে সমস্ত উপায়ে ডেটা ব্যবহার করে তা প্রকৃতপক্ষে।
এখন, এই সমস্ত এনক্রিপশন নিখরচায় নেই: থেরিস সিপিইউ ওভারহেড, কখনও কখনও কলাম এনক্রিপশন এবং সর্বদা এনক্রিপ্ট করা মামলার জন্য উপস্থিত থাকে যা সেই তথ্যটিতে সন্ধান করার আপনার দক্ষতার ক্ষেত্রে পারফরম্যান্সের উপর জড়িত থাকে। তবে, এই এনক্রিপশনটি যদি এটি যথাযথভাবে একসাথে রাখা হয় তবে এর অর্থ হ'ল যদি কেউ আপনার ডেটাতে অ্যাক্সেস পেতে থাকে তবে ক্ষতির পরিমাণটি হ্রাস করা হয়, কারণ তারা এটি পেতে সক্ষম হয়েছিল এবং তারপরে তারা এটি দিয়ে কিছুই করতে সক্ষম হয় না। যাইহোক, এইভাবে র্যানসওয়ওয়ারটি যেভাবে কাজ করে, তা হ'ল যে কেউ নিজের শংসাপত্র বা নিজস্ব পাসওয়ার্ড সহ এই আইটেমগুলি চালু করে এবং এটিতে আপনার অ্যাক্সেস নেই। সুতরাং, আপনি এটি করছেন এবং আপনার এটিতে অ্যাক্সেস রয়েছে তা নিশ্চিত করে নেওয়া কেন গুরুত্বপূর্ণ এটি তা গুরুত্বপূর্ণ, তবে আপনি এটি দিচ্ছেন না, অন্য এবং আক্রমণকারীদের জন্য উন্মুক্ত।
এবং তারপরে, সুরক্ষা নীতিগুলি - আমি এই মুহুর্তটি বেলবোর করতে যাচ্ছি না, তবে নিশ্চিত হয়ে নিন যে প্রতিটি ব্যবহারকারী এসকিউএল সার্ভারে সুপার অ্যাডমিন হিসাবে চলছেন। আপনার বিকাশকারীরা এটি চাইতে পারে, বিভিন্ন ব্যবহারকারী এটি চাইতে পারে - স্বতন্ত্র আইটেমগুলির জন্য অ্যাক্সেসের জন্য জিজ্ঞাসা করে হতাশ হয়ে পড়েছে - তবে আপনাকে এটি সম্পর্কে কঠোর হতে হবে এবং এটি আরও জটিল হতে পারে তবে অবজেক্টগুলি এবং ডাটাবেসগুলিতে অ্যাক্সেস দিতে হবে এবং চলমান কাজের জন্য বৈধ যে স্কীমাগুলি রয়েছে এবং এতে একটি বিশেষ কেস রয়েছে, সম্ভবত এটি একটি বিশেষ লগইন এর অর্থ, এটি গড় ক্ষেত্রে ব্যবহারকারীর জন্য প্রয়োজনীয় অধিকারের উচ্চতা বোঝায় না।
এবং তারপরে, নিয়ামক সম্মতি সংক্রান্ত বিবেচনা রয়েছে যা এইগুলিতে ডুবে যায় এবং কিছু ক্ষেত্রে প্রকৃতপক্ষে তাদের নিজস্ব উপায়ে চলে যেতে পারে - সুতরাং হিপ্পা, সক্স, পিসিআই - এই সমস্ত ভিন্ন বিবেচনা রয়েছে। এবং যখন আপনি কোনও নিরীক্ষণের মধ্য দিয়ে যান, তখন আপনার কাছে প্রত্যাশা করা হবে যে আপনি এটি মেনে চলতে পদক্ষেপ নিচ্ছেন। এবং তাই, এটি ট্র্যাক করে রাখার মতো অনেক কিছুই, আমি ডিবিএ করণীয় তালিকা হিসাবে বলব, আপনি সুরক্ষা শারীরিক এনক্রিপশন কনফিগারেশনটি নিশ্চিত করার চেষ্টা করছেন, আপনি নিশ্চিত হয়ে যাচ্ছেন যে সেই তথ্য অ্যাক্সেসটি আপনার সম্মতি সংক্রান্ত উদ্দেশ্যে অডিট হচ্ছে কিনা? এটি নিশ্চিত করে যে আপনার সংবেদনশীল কলামগুলি, আপনি কী সেগুলি কী সেগুলি, সেগুলি কোথায়, কোনটি আপনাকে এনক্রিপ্ট করতে হবে এবং অ্যাক্সেস দেখতে হবে তা নিশ্চিত know এবং কনফিগারেশনগুলি আপনি যে নিয়ন্ত্রক নির্দেশিকাগুলির সাপেক্ষে সেগুলির সাথে সারিবদ্ধ রয়েছে তা নিশ্চিত করে। এবং জিনিসগুলি পরিবর্তিত হওয়ার সাথে সাথে আপনাকে এগুলি সব আপ টু ডেট রাখতে হবে।
সুতরাং, এটি করার মতো অনেক কিছুই, এবং তাই যদি আমি এটি কেবল সেখানে রেখে যাই তবে আমি বলব যে এটি কর do তবে এর জন্য প্রচুর বিভিন্ন সরঞ্জাম রয়েছে এবং তাই, আমি যদি কয়েক মিনিটের মধ্যে থাকতে পারি তবে আমি আপনাকে তার জন্য আইডেরায় থাকা কয়েকটি সরঞ্জাম আপনাকে দেখাতে চাইছিলাম। এবং আজ আমি যে দুটি বিষয়ে কথা বলতে চাইছিলাম তারা হলেন এসকিউএল সিকিউর এবং এসকিউএল কমপ্লায়েন্স ম্যানেজার। এসকিউএল সিকিউর হ'ল আমাদের কনফিগারেশনের দুর্বলতাগুলি সনাক্ত করতে সহায়তা করার সরঞ্জাম। আপনার সুরক্ষা নীতি, আপনার ব্যবহারকারীর অনুমতি, আপনার পৃষ্ঠতল অঞ্চল কনফিগারেশন। এবং এতে আপনাকে বিভিন্ন নিয়ামক কাঠামো মেনে চলতে সহায়তা করার জন্য টেমপ্লেট রয়েছে। এটি স্বয়ংক্রিয়ভাবে, সেই শেষ লাইনটি লোকেরা এটি বিবেচনা করার কারণ হতে পারে। কারণ এই বিভিন্ন বিধিবিধানগুলি পড়ার এবং সেগুলির অর্থ কী তা সনাক্ত করে পিসিআই এবং তারপরে আমার দোকানটিতে আমার এসকিউএল সার্ভারে নেমে যাওয়ার ফলে অনেক কাজ শুরু হয়। এমন কিছু যা আপনাকে প্রচুর পরামর্শের জন্য অর্থ দিতে পারে; আমরা গিয়েছিলাম এবং সেই পরামর্শ নিয়েছি, আমরা বিভিন্ন অডিটিং সংস্থাগুলি, ইত্যাদির সাথে কাজ করেছি those টেমপ্লেটগুলি কী তা নিয়ে আসে - কিছু যদি এটি স্থানে থাকে তবে অডিট পাস করার সম্ভাবনা রয়েছে। এবং তারপরে আপনি temp টেমপ্লেটগুলি ব্যবহার করতে পারেন এবং সেগুলি আপনার পরিবেশে দেখতে পারেন।
এসকিউএল কমপ্লায়েন্স ম্যানেজার আকারে আমাদের কাছে আরও একটি বোন সরঞ্জাম রয়েছে এবং এসকিউএল সিকিওরটি কনফিগারেশন সেটিংস সম্পর্কে। এসকিউএল কমপ্লায়েন্স ম্যানেজার কাদের দ্বারা কখন কী করা হয়েছিল তা দেখার বিষয়। সুতরাং, এটির নিরীক্ষণ, সুতরাং এটি আপনাকে ক্রিয়াকলাপটিকে ঘটছে হিসাবে পর্যবেক্ষণ করতে দেয় এবং আপনাকে কে অ্যাক্সেস করছে তা সনাক্ত এবং ট্র্যাক করতে দেয়। প্রোটোটাইপিকাল উদাহরণটি কি আপনার হাসপাতালের একজন সেলিব্রিটি চেক করা হয়েছিল, কেউ কি কেবল কৌতুহলের বাইরে গিয়ে তাদের তথ্য অনুসন্ধান করছে? তাদের কি এমন করার কোনও কারণ ছিল? আপনি নিরীক্ষণের ইতিহাসটি একবার দেখে নিতে পারেন যে কী চলছে, কে এই রেকর্ডগুলি অ্যাক্সেস করছে। সংবেদনশীল কলামগুলি সনাক্ত করতে আপনাকে সাহায্য করার জন্য এই সরঞ্জামগুলি সনাক্ত করতে পারেন, সুতরাং আপনার নিজেরাই পড়তে হবে এবং এটি নিজেই করা উচিত নয়।
সুতরাং, আমি যদি করতে পারি তবে, আমি এই কয়েক মিনিটের মধ্যে এখানে এগিয়ে যেতে এবং সেগুলির কয়েকটি এখানে আপনাকে প্রদর্শন করতে যাচ্ছি - এবং দয়া করে এটিকে একটি গভীর-ডেমো হিসাবে বিবেচনা করবেন না। আমি একটি প্রোডাক্ট ম্যানেজার, বিক্রয় প্রকৌশলী নই, তাই আমি আপনাকে এই আলোচনার সাথে প্রাসঙ্গিক বলে মনে করি এমন কিছু বিষয় আপনাকে দেখাতে যাচ্ছি। সুতরাং, এটি আমাদের এসকিউএল সুরক্ষিত পণ্য। এবং আপনি এখানে দেখতে পাচ্ছেন, Ive এই ধরনের উচ্চ-স্তরের রিপোর্ট কার্ড পেয়েছে। আমি এটাকে দৌড়েছি, আমি গতকাল বলেছি। এবং এটি আমাকে এমন কিছু জিনিস দেখায় যা সঠিকভাবে সেট আপ করা হয়নি এবং কিছু জিনিস যা সঠিকভাবে সেট আপ করা হয়েছে। সুতরাং, আপনি এখানে 100 টিরও বেশি বিভিন্ন চেক দেখতে পেয়েছেন। এবং আমি দেখতে পাচ্ছি যে আমার যে ব্যাকআপগুলি করা হয়েছে সেগুলিতে আমার ব্যাকআপ এনক্রিপশনটি হয়েছে, Ive ব্যাকআপ এনক্রিপশন ব্যবহার করে নি। আমার এসএ অ্যাকাউন্টটি, স্পষ্টভাবে "এসএ অ্যাকাউন্ট" নামে নাম অক্ষম করা বা নাম পরিবর্তন করা যায় না। সর্বজনীন সার্ভারের ভূমিকার অনুমতি রয়েছে, সুতরাং এগুলি হ'ল এমন জিনিস যা আমি পরিবর্তন করতে চাই।
আমি এখানে নীতি সেট আপ পেয়েছি, সুতরাং যদি আমি একটি নতুন নীতি সেট আপ করতে চাইতাম, আমার সার্ভারগুলিতে প্রয়োগ করতে পারি, তবে আমরা এই সমস্ত বিল্ট-ইন পলিসি পেয়েছি। সুতরাং, আমি একটি বিদ্যমান নীতি টেম্পলেট ব্যবহার করব এবং আপনি দেখতে পাচ্ছেন যে আমার কাছে সিআইএস, এইচআইপিএ, পিসিআই, এসআর রয়েছে এবং চলছে এবং আমরা আসলে ক্ষেত্রের ক্ষেত্রে প্রয়োজনীয় জিনিসগুলির ভিত্তিতে আমরা ক্রমাগত অতিরিক্ত নীতি যুক্ত করার প্রক্রিয়ায় আছি। এবং আপনি একটি নতুন নীতিও তৈরি করতে পারেন, সুতরাং আপনার অডিটর কী খুঁজছেন তা যদি আপনি জানেন তবে আপনি নিজেই এটি তৈরি করতে পারেন। এবং তারপরে, যখন আপনি এটি করেন, আপনি এই বিভিন্ন সেটিংসের মধ্যে সমস্তটি বেছে নিতে পারেন, যা আপনার সেট করা দরকার, কিছু ক্ষেত্রে আপনার কাছে কিছু আছে - আমাকে ফিরে যেতে দিন এবং প্রাক-নির্মিত একটি খুঁজে পেতে পারেন। এটি সুবিধাজনক, আমি চয়ন করতে পারি, বলতে পারি, হিপএএ - আমি ইতিমধ্যে এইচআইপিএ পেয়েছি, আমার খারাপ - পিসিআই এবং তারপরে, আমি এখানে প্রায় ক্লিক করছি, আমি আসলে এটির নিয়ন্ত্রণের অংশটির বাহ্যিক ক্রস-রেফারেন্স দেখতে পাচ্ছি সম্পর্কিত. সুতরাং এটি আপনাকে পরবর্তী সময়ে সহায়তা করবে, আপনি যখন এটি নির্ধারণ করার চেষ্টা করছেন তখন কেন? আমি কেন এটি দেখার চেষ্টা করছি? এটি কোন বিভাগের সাথে সম্পর্কিত?
এটিতে একটি দুর্দান্ত সরঞ্জামও রয়েছে যা এটি আপনাকে আপনার ব্যবহারকারীদের ভিতরে যেতে এবং ব্রাউজ করতে দেয়, সুতরাং আপনার ব্যবহারকারীর ভূমিকাগুলি অন্বেষণ করার কৌশলগুলির মধ্যে একটি, হ'ল, আমি এখানে একবার নজর দেব। সুতরাং, আমি যদি আমার জন্য অনুমতিগুলি দেখায় তবে আসুন, এখানে একটি ব্যবহারকারী বাছাই করুন। অনুমতিগুলি দেখান। আমি এই সার্ভারটির জন্য নির্ধারিত অনুমতিগুলি দেখতে পাচ্ছি, তবে তারপরে আমি এখানে ক্লিক করতে পারি এবং কার্যকর অনুমতিগুলি গণনা করতে পারি এবং এর ভিত্তিতে আমাকে পুরো তালিকাটি দেয়, সুতরাং এই ক্ষেত্রে এটি অ্যাডমিন, সুতরাং এটি তেমন উত্তেজনাপূর্ণ নয়, তবে আমি পারলাম বিভিন্ন ব্যবহারকারীদের মধ্য দিয়ে যান এবং তাদের বিভিন্ন পৃথক গোষ্ঠীর উপর ভিত্তি করে তাদের কার্যকর অনুমতিগুলি কী তা দেখুন। আপনি যদি নিজে নিজে এটি করার চেষ্টা করেন তবে তা আসলে কিছুটা ঝামেলা হতে পারে, তা নির্ধারণ করার জন্য, ঠিক আছে এই ব্যবহারকারী এই গোষ্ঠীগুলির একজন সদস্য এবং তাই গোষ্ঠী ইত্যাদির মাধ্যমে এই জিনিসগুলিতে অ্যাক্সেস রয়েছে etc.
সুতরাং, এই পণ্যটি যেভাবে কাজ করে এটি কি স্ন্যাপশট গ্রহণ করে, তাই এটি নিয়মিতভাবে সার্ভারের স্ন্যাপশট নেওয়া সত্যিই খুব কঠিন প্রক্রিয়া নয় এবং তারপরে এটি সেই স্ন্যাপশটগুলিকে সময়ের সাথে সাথে রাখে যাতে আপনি পরিবর্তনের জন্য তুলনা করতে পারেন। সুতরাং, পারফরম্যান্স মনিটরিং সরঞ্জামের মতো এটি গতানুগতিক অর্থে ধারাবাহিক পর্যবেক্ষণ নয়; এটি এমন একটি জিনিস যা আপনি প্রতি রাতে একবার চালানোর জন্য প্রতি সপ্তাহে একবার চালিয়ে যেতে পারেন - তবে প্রায়শই আপনি বৈধ বলে মনে করেন - যাতে আপনি যখনই বিশ্লেষণ করছেন এবং আপনি আরও কিছু করছেন, আপনি আসলে আমাদের সরঞ্জামের মধ্যেই কাজ করছেন। আপনি এতক্ষণ আপনার সার্ভারের সাথে সংযোগ স্থাপন করছেন না, সুতরাং এই ধরণের স্থির সেটিংসের সাথে সম্মতি পাওয়ার জন্য এটির সাথে কাজ করার জন্য এটি একটি দুর্দান্ত সুন্দর সরঞ্জাম।
আমি আপনাকে যে অন্যান্য সরঞ্জামটি দেখাতে চাই তা হ'ল আমাদের সম্মতি ম্যানেজার সরঞ্জাম। কমপ্লায়েন্স ম্যানেজার আরও ধারাবাহিক উপায়ে নিরীক্ষণ করতে চলেছে। এবং এটি আপনার সার্ভারে কারা কারা করছে তা দেখতে পাবে এবং আপনাকে এটি একবার দেখার সুযোগ দেবে। সুতরাং, আমি এখানে যা করেছি, গত কয়েক ঘন্টা বা তার মধ্যে, আমি আসলে কিছুটা সমস্যা তৈরি করার চেষ্টা করেছি। সুতরাং, আমি এখানে পেয়েছি এটি সমস্যা কিনা বা না, আমি এটি সম্পর্কে জানতে পারি, কেউ আসলে একটি লগইন তৈরি করেছে এবং এটি একটি সার্ভারের ভূমিকাতে যুক্ত করেছে। সুতরাং, আমি যদি সেখানে যাই এবং এটি একবার দেখে নিই, আমি দেখতে পাচ্ছি — আমি অনুমান করতে পারি যে আমি সেখানে ডান ক্লিক করতে পারি না, আমি দেখতে পাচ্ছি কী চলছে।সুতরাং, এটি আমার ড্যাশবোর্ড এবং আমি দেখতে পাচ্ছি যে আজ থেকে একটু আগে আমার প্রচুর ব্যর্থ লগইন ছিল। আমার কাছে সুরক্ষা ক্রিয়াকলাপ, ডিবিএল কার্যকলাপ ছিল।
সুতরাং, আমাকে আমার নিরীক্ষণের ইভেন্টগুলিতে যেতে দিন এবং একবার দেখুন look এখানে আমি আমার নিরীক্ষণের ইভেন্টগুলি বিভাগ এবং টার্গেট অবজেক্টের দ্বারা গোষ্ঠীভুক্ত করেছি, সুতরাং আমি যদি আগে থেকে সেই সুরক্ষাটি একবার দেখে নিই তবে আমি ডেমোউইউউজার দেখতে পাচ্ছি, এই তৈরি সার্ভার লগইন ঘটেছে। এবং আমি দেখতে পাচ্ছি যে লগইন এসএ এই ডেমো নিউইউজার অ্যাকাউন্টটি তৈরি করেছে, এখানে, দুপুর ২:২২ এ at এবং তারপরে, আমি দেখতে পাচ্ছি যে পরিবর্তে সার্ভারে লগইন যুক্ত করুন, এই ডেমোনিউজারটি সার্ভার অ্যাডমিন গ্রুপে যুক্ত হয়েছিল, সেগুলি সেটআপ অ্যাডমিন গ্রুপে যুক্ত হয়েছিল, সেগুলি সিসাদমিন গ্রুপে যুক্ত করা হয়েছিল। সুতরাং, এমন কিছু ঘটেছে যা আমি জানতে চাই তা ঘটেছে। আমার টেবিলে সংবেদনশীল কলামগুলি ট্র্যাক করা হচ্ছে যাতে এটিও সেট আপ হয়ে যায়, তাই আমি দেখতে পাচ্ছি কে এটি অ্যাক্সেস করছে।
সুতরাং, এখানে আমি দু'জন নির্বাচিত পেয়েছি যা আমার ব্যক্তির টেবিলে ঘটেছিল, অ্যাডভেঞ্চার ওয়ার্কস থেকে। এবং আমি একবার খেয়াল করে দেখতে পারি যে অ্যাডভেঞ্চার ওয়ার্কস টেবিলের ব্যবহারকারীর এসএ ব্যক্তি বিন্দু ব্যক্তি থেকে একটি নির্বাচিত সেরা দশ তারকা করেছেন। সুতরাং আমার সংস্থায় আমি চাই না যে ব্যক্তিরা বিন্দু ব্যক্তি থেকে বাছাই তারকারা বেছে নেবে, অথবা আমি কেবলমাত্র নির্দিষ্ট ব্যবহারকারীদের এটি করার প্রত্যাশা করছি এবং তাই আমি এখানে এটি দেখতে যাচ্ছি। সুতরাং, আপনার নিরীক্ষণের ক্ষেত্রে আপনার যা প্রয়োজন, আমরা সেটি ফ্রেমওয়ার্কের উপর ভিত্তি করে সেট আপ করতে পারি এবং এটি একটি নিবিড় সরঞ্জামের কিছুটা বেশি। এটি সংস্করণটির উপর নির্ভর করে এসকিউএল ট্রেস বা এসকিউএলএক্স ইভেন্টগুলি ব্যবহার করছে। এবং এটি এমন কিছু যা আপনি আপনার সার্ভারে সামঞ্জস্য করার জন্য কিছু শিরোনাম রাখতে যাচ্ছেন তবে এটির মধ্যে একটি বিষয়, এক ধরণের বীমা, যা আমাদের গাড়ি বীমা না করাই ভাল - এটি এমন এক ব্যয় হবে যা আমরা চাই না নিতে হবে - তবে আপনার যদি এমন একটি সার্ভার থাকে যেখানে আপনাকে কারা করছেন সে সম্পর্কে নজর রাখতে হবে, আপনাকে এই কাজটি করার জন্য কিছুটা অতিরিক্ত হেডরুম এবং একটি সরঞ্জাম থাকতে পারে might আপনি আমাদের সরঞ্জামটি ব্যবহার করছেন বা আপনি নিজেই এটি ঘূর্ণায়মান হচ্ছেন না কেন, আপনি নিয়মিত নিয়ন্ত্রণের উদ্দেশ্যে এই তথ্য রাখার জন্য শেষ পর্যন্ত দায়বদ্ধ হয়ে যাবেন।
আমি যেমন বলেছি, তেমন কোনও গভীরতা ডেমো নয়, কেবল একটি দ্রুত, সামান্য সংক্ষিপ্তসার। আমি আপনাকে এই এসকিউএল কলাম অনুসন্ধান আকারে একটি দ্রুত, সামান্য নিখরচায় সরঞ্জাম প্রদর্শন করতে চেয়েছিলাম, যা আপনার পরিবেশে কোন কলাম সংবেদনশীল তথ্য বলে মনে হচ্ছে তা সনাক্ত করতে আপনি এটি ব্যবহার করতে পারেন। সুতরাং, আমাদের বেশ কয়েকটি অনুসন্ধানের কনফিগারেশন রয়েছে যেখানে এটি সাধারণভাবে সংবেদনশীল ডেটাযুক্ত কলামগুলির বিভিন্ন নাম সন্ধান করে এবং তারপরে Ive সনাক্ত করে চিহ্নিত তাদের পুরো তালিকাটি পেয়ে গেল। আমি তাদের মধ্যে ১২০ পেয়েছি এবং তারপরে আমি সেগুলি এখানে রফতানি করেছি, যাতে আমি তাদের এটি ব্যবহার করে বলতে পারি, দেখে নেওয়া যাক এবং মাঝের নামটি, একজন ব্যক্তি বিন্দু ব্যক্তি বা বিক্রয় করের হার ইত্যাদিতে আমি ট্র্যাকিং করছি কিনা তা নিশ্চিত করে নিন make
আমি জানি আমাদের সময় শেষে ঠিক এই মুহূর্তে পেয়েছিলাম। এবং এটাই আসলে যা আমি আপনাকে দেখাতে হয়েছিল তাই আমার জন্য কোনও প্রশ্ন?
এরিক কাভানাঘ: আপনার জন্য আমার বেশ কয়েকজন ভাল আছে। আমাকে এটি এখানে স্ক্রোল করুন। উপস্থিতদের মধ্যে একজন সত্যিই একটি ভাল প্রশ্ন জিজ্ঞাসা করেছিলেন। যার মধ্যে একটি পারফরম্যান্স ট্যাক্স সম্পর্কে জিজ্ঞাসা করছে, তাই আমি জানি এটি সমাধান থেকে সমাধানের ক্ষেত্রে পরিবর্তিত হয়, তবে আইডিআরএ সুরক্ষা সরঞ্জামগুলি ব্যবহার করার জন্য পারফরম্যান্স ট্যাক্স কী তা সম্পর্কে আপনার কোনও সাধারণ ধারণা আছে?
ভিকি হার্প: সুতরাং, এসকিউএল সিকিউর সম্পর্কে, যেমনটি আমি বলেছিলাম, এটি খুব কম, এটি কিছু মাঝে মাঝে স্ন্যাপশট নেবে take এমনকি আপনি প্রায়শই চালিয়ে যাচ্ছেন, সেটিংস সম্পর্কে স্থির তথ্য পাওয়া এবং তাই এটি খুব কম, প্রায় নগন্য। কমপ্লায়েন্স ম্যানেজারের ক্ষেত্রে এটি it
এরিক কাভানাঘ: এক শতাংশের মতো?
ভিকি হার্প: যদি আমাকে একটি শতাংশ নম্বর দিতে হয়, হ্যাঁ, এটি এক শতাংশ বা তার চেয়ে কম হবে। এসএসএমএস ব্যবহার এবং সুরক্ষা ট্যাবে যেতে এবং জিনিসগুলি প্রসারিত করার ক্রম সম্পর্কিত এটির প্রাথমিক তথ্য। কমপ্লায়েন্সের দিক থেকে, এটি আরও উচ্চতর - কেন আমি বললাম যে এটির জন্য একটু হেডরুমের প্রয়োজন - তার সাজসজ্জাটি পারফরম্যান্স মনিটরিংয়ের ক্ষেত্রে আপনার যা আছে তার চেয়েও ভাল। এখন, আমি এটি থেকে লোকদের ভয় দেখাতে চাই না, কমপ্লায়েন্স মনিটরিংয়ের কৌশল এবং যদি এর নিরীক্ষণটি নিশ্চিত করা হয় যে আপনি কেবল কী কী পদক্ষেপ নিচ্ছেন তা নিরীক্ষণ করছেন। সুতরাং, একবার আপনি ফিল্টার করে বলুন, "আরে, আমি যখন লোকেরা এই নির্দিষ্ট টেবিলগুলিতে অ্যাক্সেস পাই তখন আমি জানতে চাই এবং যখনই লোকেরা অ্যাক্সেস করে, এই বিশেষ পদক্ষেপগুলি গ্রহণ করে আমি জানতে চাই," তারপরে এই বিষয়গুলি কতবার হয় তার উপর ভিত্তি করে তৈরি হবে ঘটছে এবং আপনি কত ডেটা তৈরি করছেন। আপনি যদি বলেন, "আমি এই টেবিলগুলির যে কোনও একটিতে যে কোনও নির্বাচনের পূর্ণ এসকিউএল চাই," তবে সম্ভবত এসএসকিউএল সার্ভারের দ্বারা সংগৃহীত হওয়া ডেটা সম্ভবত গিগাবাইট এবং গিগা বাইট হতে চলেছে যা আমাদের পণ্য ইত্যাদিতে স্থানান্তরিত হয় etc ।
যদি আপনি এটিকে নীচে রাখেন তবে এটি সম্ভবত আপনার সাথে ডিল হতে পারে তার চেয়ে আরও বেশি তথ্য হতে পারে। আপনি যদি এটি একটি ছোট সেট এ নিয়ে যেতে পারেন, যাতে আপনি প্রতিদিন কয়েক শতাধিক ইভেন্ট পাচ্ছেন, তবে তা অবশ্যই অনেক কম। সুতরাং, সত্যিই, কিছু উপায়ে, আকাশের সীমাটি। আপনি যদি সমস্ত কিছুর জন্য সমস্ত পর্যবেক্ষণের সমস্ত সেটিংস চালু করেন তবে হ্যাঁ, এটি 50 শতাংশের কার্যকারিতা হিট হবে। তবে আপনি যদি এটিকে আরও মাঝারি, বিবেচিত স্তরের দিকে রূপান্তরিত করতে যাচ্ছেন তবে আমি সম্ভবত 10 শতাংশ আইবোল করব? এটি সত্যিই, এটি আপনার কাজের চাপের উপর খুব নির্ভরশীল হতে চলেছে things
এরিক কাভানাঘ: হ্যাঁ ঠিক. হার্ডওয়্যার সম্পর্কে আরেকটি প্রশ্ন রয়েছে। এবং তারপরে, সেখানে হার্ডওয়্যার বিক্রেতারা গেমটিতে প্রবেশ করছে এবং সত্যই সফ্টওয়্যার বিক্রেতাদের সাথে সহযোগিতা করছে এবং আমি প্রশ্নোত্তর উইন্ডোটির মাধ্যমে উত্তর দিয়েছি। আমি একটি বিশেষ ক্ষেত্রে জানি, ক্লৌডের ইন্টেলের সাথে কাজ করা যেখানে ইন্টেল তাদের মধ্যে সেই বিশাল বিনিয়োগ করেছে, এবং ক্যালকুলাসের একটি অংশ ছিল যে ক্লৌডেরা চিপ ডিজাইনের প্রাথমিক প্রবেশাধিকার পাবে, এবং এইভাবে চিপের স্তরটিতে সুরক্ষা বানাতে সক্ষম হবে আর্কিটেকচার, যা বেশ চিত্তাকর্ষক। তবে তা সত্ত্বেও, এটির কিছু এখানে বেরিয়ে আসে এবং এখনও উভয় পক্ষই শোষণ করতে পারে। সুরক্ষা প্রোটোকলে সফ্টওয়্যার বিক্রেতাদের সাথে সহযোগিতা করার জন্য হার্ডওয়্যার বিক্রেতাদের কোনও প্রবণতা বা কোনও প্রবণতা সম্পর্কে আপনি কি জানেন?
ভিকি হার্প: হ্যাঁ, প্রকৃতপক্ষে, আমি বিশ্বাস করি যে মাইক্রোসফ্ট কিছু এনক্রিপশন কাজের জন্য মেমরির জায়গাগুলি মাদারবোর্ডগুলির পৃথক চিপগুলিতে আপনার মূল স্মৃতি থেকে পৃথক হওয়ার জন্য আসলে সহযোগিতা করেছে যাতে কিছু স্টাফ থাকে শারীরিকভাবে পৃথক করা হয়। এবং আমি বিশ্বাস করি যে এটি আসলে এমন কিছু যা মাইক্রোসফ্ট থেকে বিক্রেতাদের কাছে বেরিয়ে আসার শর্তে এসেছিল, "আমরা কী এটি তৈরির উপায় নিয়ে আসতে পারি, মূলত এটির অবিশ্বাস্য স্মৃতি, আমি বাফার উপচে পড়া প্রবাহের মাধ্যমে এই স্মৃতিতে পৌঁছতে পারি না , কারণ এটি সেখানেও নেই, এক অর্থে, তাই আমি জানি যে এর কিছু ঘটছে। "
এরিক কাভানাঘ: হ্যাঁ।
ভিকি হার্প: সম্ভবত এটি সম্ভবত প্রকৃতপক্ষে বড় বিক্রেতারা হতে চলেছে, সম্ভবত।
এরিক কাভানাঘ: হ্যাঁ। আমি এটি দেখার জন্য আগ্রহী এবং সম্ভবত রবিন, যদি আপনার দ্রুত দ্বিতীয় হয়, আইডিকে বছরের পর বছর ধরে আপনার অভিজ্ঞতা জানার জন্য আগ্রহী, কারণ আবার হার্ডওয়ারের ক্ষেত্রে, প্রকৃত উপাদান বিজ্ঞানের ক্ষেত্রে যা আপনি রাখছেন একত্রে বিক্রেতার পক্ষ থেকে, তথ্যটি উভয় পক্ষেই যেতে পারে, এবং তাত্ত্বিকভাবে আমরা উভয় পক্ষে মোটামুটি দ্রুত যেতে পারি, সুতরাং নকশার দৃষ্টিকোণ থেকে সুরক্ষার দিকনির্দেশ থেকে হার্ডওয়্যারটি আরও সাবধানতার সাথে ব্যবহার করার কোনও উপায় আছে কি? আপনি কি মনে করেন? রবিন, তুমি কি নিস্তব্ধ?
রবিন ব্লোর: হ্যাঁ হ্যাঁ. দুঃখিত, আমি এখানে আছি; আমি শুধু প্রশ্ন চিন্তা। সত্যি বলতে কী, আমি একটি মতামত পেলাম না, এটি এমন একটি অঞ্চল যা আমি উল্লেখযোগ্য গভীরতার সাথে দেখেছি, সুতরাং আমি জানি, আমি জানি, আমি একটি মতামত আবিষ্কার করতে পারি, তবে আমি সত্যিই জানি না। আমি সফ্টওয়্যারগুলিতে সুরক্ষিত থাকতে পছন্দ করি, এটি কেবলমাত্র আমি খেলি।
এরিক কাভানাঘ: হ্যাঁ। ভাল, ভাবেন, এক ঘন্টা ধরে পোড়া পোড়া হয়েছে এবং এখানে পরিবর্তন করুন। আপনার সময় এবং মনোযোগের জন্য - তার সময় এবং মনোযোগের জন্য ভিকি হার্পকে অনেক ধন্যবাদ; আমরা আপনাকে এই জিনিসগুলি দেখানোর জন্য প্রশংসা করি। এটা একটা বড় চুক্তি; এটি খুব শীঘ্রই আর দূরে যেতে হবে না। এটি একটি বিড়াল এবং মাউস গেমটি চলতে থাকবে এবং চলছে আর চলছে। এবং তাই কৃতজ্ঞ যে কতিপয় সংস্থাগুলি বাইরে এসেছিল, সুরক্ষার সক্ষমতা সক্ষম করার দিকে মনোনিবেশ করেছিল, কিন্তু ভিকি এমনকি তার প্রেজেন্টেশনে কিছুদিন আগেই ইঙ্গিত করেছিল এবং কিছু কথা বলেছিল, দিন শেষে, সংগঠনের লোকেরা যারা এগুলি সম্পর্কে খুব সাবধানতার সাথে চিন্তা করতে হবে ফিশিং আক্রমণ, এক ধরণের সোশ্যাল ইঞ্জিনিয়ারিং, এবং আপনার ল্যাপটপগুলিতে ধরে রাখুন - এটি কফিশপে ছেড়ে যাবেন না! আপনার পাসওয়ার্ড পরিবর্তন করুন, বেসিকগুলি করুন এবং আপনি সেখানে 80 শতাংশ পথ পেতে যাচ্ছেন।
সুতরাং, এর সাথে, ভাবেন, আপনাকে বিদায় জানাতে যাচ্ছিল, আপনার সময় এবং মনোযোগের জন্য আবারও আপনাকে ধন্যবাদ। ভাল আপনি পরের বার ধরা, যত্ন নিন। বাই বাই
ভিকি হার্প: বাই, আপনাকে ধন্যবাদ