Penyulitan hanya tidak mencukupi: 3 kebenaran kritikal tentang keselamatan data

Terima kasih kepada perimeter yang mati, musuh yang berterusan, awan, mobiliti dan bawa peranti anda sendiri (BYOD), keselamatan data-sentris adalah penting. Prinsip keamanan data-sentris adalah mudah: Jika rangkaian dikompromi, atau peranti mudah alih hilang atau dicuri, data dilindungi. Organisasi-organisasi yang menerima peralihan paradigma ini telah menyedari keperluan untuk menambah kawalan dan penglihatan terhadap keselamatan data dengan mencari penyelesaian yang lebih tradisional. Memandangkan pandangan ini berevolusi tentang keselamatan data-centric membolehkan organisasi di semua peringkat untuk melindungi data sensitif, hampir menyekat data tersebut tanpa mengira di mana ia berada.

Penyelesaian keselamatan data-centric secara tradisional telah menghadap ke dalam, dan telah memberi tumpuan untuk melindungi data dalam domain organisasi kerana ia dikumpulkan dan disimpan. Walau bagaimanapun, data bergerak jauh dari pusat organisasi, tidak ke arahnya, dan trend mega seperti awan dan mobiliti hanya mempercepatkan proses. Keselamatan data sentris yang berkesan melindungi data kerana ia bergerak dari pusat organisasi untuk dikongsi dan dimakan. Ini termasuk hubungan ad hoc di luar sempadan domain, yang membolehkan interaksi terjamin dengan pelanggan dan rakan kongsi. (Lakukan bacaan latar belakang mengenai keselamatan IT. Cuba 7 Prinsip Asas Keselamatan IT.)

3 Kebenaran Kritikal Keselamatan Data-Centric

Pandangan evolusi keselamatan data-centric adalah berdasarkan tiga kebenaran kritikal yang menunjukkan jalan bagaimana keselamatan mesti dilaksanakan agar dapat berkesan:

• Data akan pergi ke tempat yang anda tidak tahu, tidak dapat dikawal dan semakin tidak percaya. Ini berlaku melalui proses pemprosesan biasa, melalui kesilapan pengguna atau kepuasan, atau melalui aktiviti berniat jahat. Kerana tempat-tempat data anda pergi mungkin tidak dipercayai, anda tidak boleh bergantung pada keselamatan rangkaian, peranti atau aplikasi untuk melindungi data tersebut.
• Penyulitan sahaja tidak mencukupi untuk melindungi data.

  Penyulitan mesti digabungkan dengan kawalan capaian yang berterusan dan dapat disesuaikan yang membolehkan pencetus untuk menentukan syarat-syarat di mana kunci akan diberikan, dan menukar kawalan seperti keadaan yang ditentukan.

• Perlu ada penglihatan yang menyeluruh dan terperinci ke siapa yang mengakses data yang dilindungi, kapan dan berapa kali.

  Penglihatan terperinci ini memastikan kebolehlaksanaan untuk keperluan pengawalseliaan dan analisis kuasa bagi wawasan yang lebih luas mengenai corak penggunaan dan isu-isu yang berpotensi, yang seterusnya meningkatkan kawalan.

Data: Oh, Tempat Ia Akan Pergi

Bermula dengan kebenaran pertama, kita dapat menyimpulkan standard operasi yang penting dan pragmatik: Untuk keselamatan data-sentris untuk menjadi berkesan, data mesti dilindungi di titik asal. Sekiranya data disulitkan sebagai langkah pertama dalam proses itu, ia selamat di mana sahaja ia pergi, pada rangkaian yang ia bawa dan di mana ia akhirnya tinggal. Melakukan sebaliknya memerlukan kepercayaan setiap komputer, setiap sambungan rangkaian dan setiap orang dari sudut yang maklumat meninggalkan penjaga pemula, dan selama itu atau mana-mana salinan ada.

Melindungi data pada titik asal membuat andaian yang besar: Penyelesaian keselamatan data-centric anda mesti dapat melindungi data di mana sahaja ia pergi. Sebagaimana kebenaran pertama memberitahu kami, data dan banyak salinan yang dibuat secara semulajadi akan pergi ke banyak tempat, termasuk peranti mudah alih, peranti peribadi dan awan. Penyelesaian yang berkesan mesti memastikan data bebas daripada peranti, aplikasi atau rangkaian. Ia mesti memastikan bahawa data tanpa mengira format atau lokasinya, dan tanpa mengira sama ada ia beristirahat, bergerak atau digunakan. Ia mesti mudah melepasi sempadan perimeter dan mampu melindungi dialog ad hoc.

Di sinilah berguna untuk berhenti dan mempertimbangkan banyak penyelesaian keselamatan yang bersifat point-and function-spesifik yang terdapat di pasaran. Dengan sifat mereka, penyelesaian ini membuat silo perlindungan kerana - sebagai kebenaran kritikal pertama yang menentukan - data akan tinggal di luar jangkauan operasi mereka. Kerana penyelesaian ini tidak memerlukan perlindungan di mana-mana, agensi dan perniagaan terpaksa mendirikan beberapa silo. Namun, walaupun usaha terbaik silo berbilang ini, hasilnya dapat diramalkan: Data masih akan jatuh di antara jurang. Dan jurang ini adalah tepat di mana musuh luar dan orang jahat berbohong menunggu untuk mengeksploitasi kelemahan dan mencuri data. Selain itu, setiap silo mewakili kos sebenar dalam memperoleh, melaksanakan dan menyokong penyelesaian yang berkaitan, dan beban operasi menguruskan pelbagai penyelesaian. (Lebih banyak makanan untuk difikirkan: Jurang Keselamatan Data Banyak Syarikat Terlihat.)

Penyulitan Data Tidak Sudah Cukup

Kebenaran kedua menyatakan bahawa enkripsi sendiri tidak mencukupi - ia harus digabungkan dengan kawalan butiran dan berterusan. Tindakan perkongsian kandungan secara efektif menyerahkan kawalan ke atasnya, pada dasarnya membuat penerima bersama data. Kawalan membolehkan pencetus untuk menetapkan syarat di mana penerima diberikan kunci untuk mengakses fail dan membolehkan pilihan untuk menentukan apa yang boleh dilakukan penerima apabila data diakses. Ini termasuk pilihan untuk menyediakan keupayaan lihat sahaja di mana penerima tidak dapat menyimpan fail, menyalin / menampal kandungan atau mencetak fail.

Istilah "berterusan" adalah ciri kritikal kawalan akses yang diperlukan untuk keselamatan data-sentris yang berkesan. Data ini hampir ditambatkan kepada pemula, yang boleh bertindak balas terhadap perubahan keperluan atau ancaman dengan membatalkan akses atau mengubah syarat-syarat akses pada bila-bila masa. Perubahan ini mesti digunakan dengan serta-merta kepada semua salinan data, di mana sahaja mereka tinggal. Ingat bahawa kebenaran pertama menyatakan bahawa data mungkin berada di tempat yang pemula tidak tahu atau yang tidak dapat mengendalikannya. Oleh itu, pengetahuan sebelum di mana data berada dan akses fizikal ke peranti yang berkaitan tidak dapat diandaikan. Kawalan berterusan mempunyai bonus tambahan untuk menangani pembatalan data pada peranti yang hilang atau dicuri yang mungkin tidak akan pernah dihubungkan dengan rangkaian lagi.

Kebolehbagaian adalah ciri kritikal yang pada masa yang sama membezakan penyelesaian bersaing dan menyokong kes untuk pendekatan yang bersatu padu. Tidak semua penyelesaian keselamatan data-sentris dicipta sama, kerana sesetengah menggunakan kaedah penyulitan yang dicipta sebelum mobiliti, awan dan penggunaan internet yang luas. Dengan kaedah ini, kawalan akses ditetapkan pada masa ini data disulitkan, tetapi mereka tidak mempunyai faedah yang datang dengan kawalan yang berterusan.

Siapa, Kapan dan Berapa Banyak Kali Adakah Data Diakses?

Kebenaran ketiga mengenai keselamatan data yang berpusatkan data adalah keperluan mutlak untuk penglihatan dan pengesahan yang komprehensif. Ini termasuk keterlihatan ke semua aktiviti akses untuk setiap objek data, yang diberi kuasa dan tidak dibenarkan. Ia juga termasuk penglihatan ke mana-mana jenis data, di dalam dan di luar sempadan perimeter. Data audit komprehensif dan tidak semestinya membolehkan organisasi mengetahui siapa yang menggunakan data, kapan dan berapa kerap. Keterlihatan memberi kuasa kepada kawalan, memberikan organisasi maklumat untuk membuat respon yang cepat dan terperinci dengan percubaan untuk melepaskan maklumat. Keterlihatan ini perlu dilanjutkan kepada ekosistem keselamatan organisasi yang lebih luas, menyediakan data untuk maklumat keselamatan dan pengurusan peristiwa (SIEM) dan analisis operasi. Pada gilirannya, korelasi dan analisis dapat menghasilkan pandangan seperti identifikasi kemungkinan orang yang berniat jahat.

Anda akan dilanggar. Setiap lapisan pertahanan keselamatan IT boleh dan akan dikompromikan. Organisasi tidak boleh lagi bergantung pada keselamatan perimeter untuk mendapatkan data sensitif dan harta intelek. Mereka harus mencari pendekatan alternatif untuk melindungi maklumat sensitif. Ia bukan sekadar pertahanan perimeter yang bergelut, kerana banyak penyelesaian keselamatan data-centric dibina sebelum mobiliti, BYOD, awan dan berasaskan web, interaksi ekstra domain. Organisasi harus beralih kepada penyelesaian keselamatan data-sentris yang mengambil pandangan yang berkembang, dengan penuh mengatasi kebenaran keras untuk melindungi data dalam persekitaran pengkomputeran yang berubah dengan cepat dan sangat kompleks hari ini.