Съдържание:
- Трите критични истини за центрирана сигурност на данните
- Данни: О, местата, които ще отидат
- Шифроването на данни просто не е достатъчно
- Кой, кога и колко пъти се осъществява достъп до данните?
Благодарение на мъртвите периметри, постоянните противници, облака, мобилността и носенето на собствено устройство (BYOD), сигурността, ориентирана към данни, е наложителна. Принципът на ориентирана към данни сигурност е прост: Ако дадена мрежа е компрометирана или мобилно устройство е загубено или откраднато, данните са защитени. Онези организации, които приемат тази промяна в парадигмата, осъзнаха необходимостта да добавят контрол и видимост към сигурността на данните, като търсят отвъд традиционните решения. Възприемането на този развит изглед на ценностно ориентирана сигурност позволява на организациите на всички нива да защитават чувствителни данни, практически свързвайки тези данни, независимо къде се намират.
Решенията за сигурност, ориентирани към данни, традиционно са насочени навътре и се фокусират върху защитата на данните в домейна на организацията, тъй като те се събират и съхраняват. Данните обаче се отдалечават от центъра на организацията, а не към нея, а мега тенденциите като облак и мобилност само ускоряват процеса. Ефективната защита, ориентирана към данни, защитава данните, тъй като се отдалечава от центъра на организацията, за да бъде споделена и консумирана. Това включва ad-hoc отношения извън границата на домейна, позволяващи сигурни взаимодействия с клиенти и партньори. (Прочетете предистория за ИТ сигурността. Опитайте 7-те основни принципа на ИТ сигурността.)
Трите критични истини за центрирана сигурност на данните
Еволюциониращият поглед на сигурността, ориентирана към данни, се основава на три критични истини, които сочат пътя за това как трябва да се приложи сигурността, за да бъде ефективна:- Данните ще отидат на места, които не познавате, не можете да контролирате и все повече не можете да се доверите. Това се случва чрез нормалния ход на обработката, чрез грешка или самодоволство на потребителя или чрез злонамерена дейност. Тъй като местата, на които отиват вашите данни, могат да бъдат недоверие, не можете да разчитате на сигурността на мрежата, устройството или приложението, за да защитите тези данни.
- Самото криптиране не е достатъчно за защита на данните.
Шифроването трябва да се комбинира с постоянни, приспособими контроли за достъп, които позволяват на инициатора да определи условията, при които ще бъде предоставен ключ, и да ги променя, както диктуват обстоятелствата.
- Трябва да има цялостна, подробна видимост кой осъществява достъп до защитените данни, кога и колко пъти.
Тази подробна видимост осигурява проследяване на регулаторните изисквания и анализиране на правомощия за по-широк поглед върху моделите на използване и потенциалните проблеми, което от своя страна подобрява контрола.
Данни: О, местата, които ще отидат
Започвайки с първата истина, ние можем да заключим важен, прагматичен оперативен стандарт: За да е ефективна сигурността, ориентирана към данни, данните трябва да бъдат защитени на мястото на произход. Ако данните са кодирани като първата стъпка в процеса, тя е сигурна, независимо къде се намира, в коя мрежа пътува и къде в крайна сметка пребивава. В противен случай се изисква доверието на всеки компютър, всяка мрежова връзка и всеки човек от гледна точка на това, че информацията оставя грижата на оригинатора и докато съществува или копия съществуват.
Защитата на данните в точката на произход прави голямо предположение: Вашето решение, ориентирано към данни, трябва да може да защитава данните, където и да отиде. Както ни казва първата истина, данните и множеството й естествено създадени копия ще отидат на много места, включително мобилни устройства, лични устройства и облака. Ефективното решение трябва да защитава данните, независимо от устройството, приложението или мрежата. Той трябва да защити тези данни, независимо от неговия формат или местоположение и независимо от това дали са в покой, в движение или в употреба. Той трябва лесно да се простира покрай границата на периметъра и да може да защитава ad-hoc диалози.
Тук е полезно да се спрем и да разгледаме многото специфични за точките и функциите решения за сигурност, достъпни на пазара. По своята същност тези решения създават защитни силози, тъй като - както диктува първата критична истина - данните ще пребивават някъде извън обхвата им на работа. Тъй като на тези решения липсва необходимата повсеместна защита, агенциите и предприятията са принудени да издигнат множество силози. Но въпреки най-добрите усилия на тези множество силози, резултатите са предвидими: данните все още ще попаднат между пропуските. И тези пропуски са точно там, където външни противници и злонамерени вътрешни хора чакат да използват уязвимостите и да откраднат данни. Освен това всеки силоз представлява реални разходи за придобиване, прилагане и поддръжка на свързаното решение и оперативната тежест при управлението на множество решения. (Повече храна за размисъл: Пропускът в сигурността на данните пренебрегва много компании.)
Шифроването на данни просто не е достатъчно
Втората истина гласи, че самото криптиране не е достатъчно - трябва да се комбинира с гранулирани и постоянни контроли. Актът за споделяне на съдържание ефективно предава контрола върху него, като по същество прави получателя съсобственик на данните. Контролите позволяват на инициатора да зададе условията, при които получателят получава ключ за достъп до файла и дават възможност да диктува какво може да направи получателят, след като данните са достъпни. Това включва възможността за предоставяне на възможност само за изглед, когато получателят не може да запише файла, да копира / постави съдържание или да го отпечата.
Терминът "постоянен" е критична характеристика на контролите за достъп, необходими за ефективна защита на данни. Данните остават практически свързани с инициатора, който може да отговори на променящите се изисквания или заплахи чрез отмяна на достъп или промяна на условията за достъп по всяко време. Тези промени трябва незабавно да се прилагат към всички копия на данните, където и да се намират. Не забравяйте, че първата истина гласи, че данните може да са на места, които инициаторът не знае или над които не може да упражнява контрол. Следователно, предварително знание за това къде се намират данните и физическият достъп до свързаните устройства не може да се предположи. Постоянният контрол има допълнителен бонус за адресиране на оттегляне на данни на изгубени или откраднати устройства, които вероятно никога повече няма да бъдат в контакт с мрежата.
Приспособимостта е критична характеристика, която едновременно диференцира конкурентни решения и подкрепя случая за единен, повсеместен подход. Не всички решения за сигурност, ориентирани към данни, са създадени еднакви, тъй като някои използват методи за криптиране, изобретени преди мобилността, облака и широкото възприемане на Интернет. С тези методи контролите за достъп се задават в момента, в който данните са кодирани, но им липсват предимствата, които идват с постоянен контрол.
Кой, кога и колко пъти се осъществява достъп до данните?
Третата истина за ефективна сигурност, ориентирана към данни, е абсолютната необходимост от всеобхватна видимост и възпроизвеждане. Това включва видимост във всички дейности за достъп за всеки обект на данни, оторизирани и неоторизирани. Той също така включва видимост във всеки тип данни, вътре и извън границите на периметъра. Изчерпателните одиторски данни и непозволеността позволяват на организацията да знае кой използва данните, кога и колко често. Видимостта дава възможност за контрол, като предоставя на организациите информация за бързи и добре информирани реакции на безмилостните опити за изчерпване на информация. Тази видимост трябва да се разшири и до по-широката екосистема за сигурност на организацията, предоставяйки данните на информацията за сигурността и управлението на събития (SIEM) и оперативната анализа. От своя страна, корелацията и анализът могат да дадат представа като идентифицирането на възможни злонамерени вътрешни лица.
Ще бъдете нарушени. Всеки слой от защитни защити на ИТ може и ще бъде компрометиран. Организациите вече не могат да разчитат на периметрова сигурност, за да защитят чувствителни данни и интелектуална собственост. Те трябва да търсят алтернативни подходи за защита на чувствителната информация. Не само защитните сили по периметъра се борят, тъй като много решения за сигурност, ориентирани към данни, са изградени преди мобилност, BYOD, облачни и уеб-базирани взаимодействия с извън домейн. Организациите трябва да се обърнат към решения за сигурност, ориентирани към данни, които заемат еволюиращ възглед, напълно адресирайки твърдите истини за защита на данните в бързо променящата се и изключително сложна изчислителна среда.