Зміст:
- 3 критичні істини безпеки, орієнтовані на дані
- Дані: О, місця, куди вона піде
- Шифрування даних просто недостатньо
- Хто, коли і скільки разів отримує доступ до даних?
Завдяки мертвим периметрам, стійким супротивникам, хмарі, мобільності та наявності власного пристрою (BYOD), безпека, орієнтована на дані, є обов'язковою. Принцип захисту, орієнтованого на дані, простий: якщо мережа порушена, або мобільний пристрій загублено або вкрадено, дані захищаються. Ті організації, які приймають цю зміну парадигми, усвідомили необхідність додавання контролю та наочності безпеці даних, виходячи за рамки традиційних рішень. Використовуючи цей розвинений погляд на орієнтовану на дані безпеку, організаціям усіх рівнів можна захищати конфіденційні дані, фактично прив'язуючи ці дані незалежно від місця їх знаходження.
Рішення щодо безпеки, орієнтовані на дані, традиційно стикаються всередину та зосереджуються на захисті даних у домені організації під час їх збирання та зберігання. Однак дані віддаляються від центру організації, а не до неї, а мега-тенденції, такі як хмара та мобільність, лише прискорюють процес. Ефективна безпека, орієнтована на дані, захищає дані, оскільки вони віддаляються від центру організації, що використовується для спільного використання та споживання. Сюди входять спеціальні зв’язки поза межами домену, що забезпечують безпечну взаємодію з клієнтами та партнерами. (Ознайомтеся з інформацією про безпеку ІТ. Спробуйте 7 основних принципів безпеки ІТ.)
3 критичні істини безпеки, орієнтовані на дані
Еволюційне уявлення про орієнтовану на дані безпеку ґрунтується на трьох критичних істинах, які вказують на спосіб здійснення безпеки для того, щоб вона була ефективною:- Дані будуть спрямовані на місця, які ви не знаєте, не можете контролювати і все більше не можете довіряти. Це відбувається через звичайний хід обробки, через помилку чи поступливість користувача або через зловмисну активність. Оскільки місця ваших даних можуть бути недовіреними, ви не можете покладатися на безпеку мережі, пристрою чи програми для захисту цих даних.
- Само шифрування недостатньо для захисту даних.
Шифрування повинно поєднуватися зі стійкими, пристосованими елементами контролю доступу, які дозволяють ініціатору визначати умови, за яких буде наданий ключ, і змінювати ці елементи керування, як диктують обставини.
- Повинна бути всебічна, детальна наочність того, хто звертається до захищених даних, коли і скільки разів.
Ця детальна видимість забезпечує надійність регуляторних вимог та аналітику повноважень для більш широкого розуміння моделей використання та потенційних проблем, що, в свою чергу, покращує контроль.
Дані: О, місця, куди вона піде
Починаючи з першої істини, ми можемо зробити висновок про важливий прагматичний оперативний стандарт: Щоб безпека, орієнтована на дані, була ефективною, дані повинні бути захищені в місці походження. Якщо дані шифруються як перший крок у процесі, це безпечно незалежно від того, куди вони переходять, в яку мережу вони подорожують та де врешті проживають. В іншому випадку потрібно довіряти кожному комп’ютеру, кожному мережевому підключенню та кожній людині з тієї точки зору, що інформація залишає турботу про оригінатора, і до тих пір, поки вона чи будь-які копії існують.
Захист даних у точці походження дає велике припущення: ваше рішення, орієнтоване на дані, повинно бути здатне захищати дані, куди б вони не потрапляли. Як свідчить перша правда, дані та її безліч природних створених копій піде у багато місць, включаючи мобільні пристрої, персональні пристрої та хмару. Ефективне рішення повинно захищати дані незалежно від пристрою, програми чи мережі. Він повинен захищати ці дані незалежно від їхнього формату чи місцезнаходження та незалежно від того, перебувають вони в спокої, у русі чи у використанні. Він повинен легко проходити за межі периметра і бути здатним захищати спеціальні діалоги.
Тут корисно зупинитись і розглянути безліч рішень щодо безпеки, орієнтованих на точки та функції, доступних на ринку. За своєю суттю ці рішення створюють силос захисту, оскільки - як диктує перша критична істина - дані будуть знаходитися десь поза межами їх дії. Оскільки цим рішенням не вистачає всюдисущого захисту, агенції та підприємства змушені зводити декілька силосів. Однак, незважаючи на зусилля цих декількох силосів, результати передбачувані: дані все ще будуть потрапляти між прогалинами. І саме ці прогалини полягають саме там, де зовнішні супротивники та злісні інсайдери чекають, щоб використовувати вразливі місця та вкрасти дані. Крім того, кожен силос представляє реальні витрати на придбання, реалізацію та підтримку пов'язаного рішення та операційне навантаження управління кількома рішеннями. (Більше їжі для роздумів: Прогалина в захисті даних багато компаній нехтують.)
Шифрування даних просто недостатньо
Друга правда стверджує, що шифрування самостійно недостатньо - воно повинно поєднуватися із деталізованими та стійкими елементами контролю. Акт спільного використання контенту ефективно передає контроль над ним, по суті, робить реципієнта співвласником даних. Елементи керування дають змогу встановити умови, за яких одержувачеві надається ключ для доступу до файлу, і дозволяють диктувати, що одержувач може зробити, коли доступ до даних. Це включає можливість надання можливості лише для перегляду, коли одержувач не може зберегти файл, скопіювати / вставити вміст або роздрукувати файл.
Термін "стійкий" є критичною характеристикою засобів контролю доступу, необхідних для ефективної безпеки, орієнтованої на дані. Дані залишаються практично прив’язаними до джерела, який може відповісти на зміни вимог чи загроз, скасувавши доступ або змінивши умови доступу в будь-який час. Ці зміни повинні бути негайно застосовані до всіх копій даних, де б вони не знаходились. Пам’ятайте, що перша правда говорить про те, що дані можуть бути там, де автор не знає, або над якими він не може контролювати. Отже, попереднього знання місця знаходження даних та фізичного доступу до пов'язаних пристроїв не можна припускати. Постійний контроль має додатковий бонус за відкликання даних про втрачені або викрадені пристрої, які, ймовірно, більше ніколи не матимуть контакту з мережею.
Адаптивність - це важлива особливість, яка одночасно диференціює конкуруючі рішення та підтримує справу для єдиного, всюдисущого підходу. Не всі рішення, орієнтовані на дані, створюються однаковими, оскільки деякі використовують методи шифрування, винайдені перед мобільністю, хмарою та широким прийняттям Інтернету. За допомогою цих методів засоби контролю встановлюються в момент, коли дані шифруються, але їм не вистачає переваг, які отримують при постійному контролі.
Хто, коли і скільки разів отримує доступ до даних?
Третя правда про ефективну безпеку, орієнтовану на дані, - абсолютна потреба у всебічній видимості та аудиторії. Це включає видимість у всіх заходах доступу для кожного об’єкта даних, дозволених та несанкціонованих. Він також включає видимість у будь-який тип даних, всередині та за межами периметру. Комплексні дані аудиту та неподання даних дозволяють організації знати, хто використовує дані, коли і як часто. Видимість дозволяє контролювати, даючи організаціям інформацію для швидкого та добре обізнаного реагування на невблаганні спроби розфільтрувати інформацію. Ця видимість повинна поширюватися на більш широку екосистему організації, надаючи дані інструментам інформації про безпеку та управління подіями (SIEM) та оперативній аналітиці. У свою чергу, кореляція та аналіз можуть дати зрозуміти, як ідентифікація можливих шкідливих інсайдерів.
Ви будете порушені. Кожен рівень захисту ІТ-безпеки може бути і буде порушений. Організації не можуть більше покладатися на безпеку периметра для захисту конфіденційних даних та інтелектуальної власності. Вони повинні шукати альтернативні підходи до захисту конфіденційної інформації. Боротьба не лише по периметровій захисті, тому що багато мобільних рішень для безпеки, орієнтованих на дані, були побудовані перед мобільністю, BYOD, хмарними та веб-взаємодіями поза домен. Організації повинні звернутися до рішень щодо безпеки, орієнтованих на дані, які займають розвинену точку зору, повністю вирішуючи суворі істини захисту даних у швидко мінливому та дуже складному обчислювальному середовищі.