Kryptering er bare ikke nok: 3 kritiske sannheter om datasikkerhet

Takket være døde omkretser, vedvarende motstandere, skyen, mobilitet og ta med din egen enhet (BYOD), er datasentrisk sikkerhet avgjørende. Prinsippet om datasentrisk sikkerhet er enkelt: Hvis et nettverk er kompromittert, eller en mobil enhet går tapt eller blir stjålet, beskyttes dataene. De organisasjonene som godtar dette paradigmeskiftet har innsett behovet for å legge til kontroll og synlighet for datasikkerhet ved å se utover tradisjonelle løsninger. Å omfatte dette utviklede synet på datasentrisk sikkerhet gjør det mulig for organisasjoner på alle nivåer å beskytte sensitive data, og praktisk talt knytte disse dataene uansett hvor de bor.

Datasentriske sikkerhetsløsninger har tradisjonelt vært innvendig, og har fokusert på å beskytte data innenfor organisasjonens domene når de blir samlet og lagret. Imidlertid beveger data seg bort fra sentrum av organisasjonen, ikke mot den, og megatrender som sky og mobilitet fremskynder bare prosessen. Effektiv datasentrisk sikkerhet beskytter data når de beveger seg bort fra sentrum av organisasjonen for å bli delt og konsumert. Dette inkluderer ad-hoc-forhold utenfor domenegrensen, noe som muliggjør sikre interaksjoner med kunder og partnere. (Gjør litt bakgrunnsinformasjon om IT-sikkerhet. Prøv De 7 grunnleggende prinsippene for IT-sikkerhet.)

De 3 kritiske sannhetene om datasentrisk sikkerhet

Et utviklet syn på datasentrisk sikkerhet er basert på tre kritiske sannheter som peker for hvordan sikkerhet må implementeres for å være effektiv:

• Data vil gå steder du ikke kjenner, ikke kan kontrollere og i økende grad ikke kan stole på. Dette skjer gjennom det normale behandlingsforløpet, gjennom brukerfeil eller selvtilfredshet, eller gjennom ondsinnet aktivitet. Fordi stedene dataene dine befinner seg ikke er tillit til, kan du ikke stole på sikkerheten til nettverket, enheten eller applikasjonen for å beskytte disse dataene.
• Kryptering alene er ikke tilstrekkelig for å beskytte data.

  Kryptering må kombineres med vedvarende, tilpasningsdyktige tilgangskontroller som gjør det mulig for opphavsmannen å definere forholdene under hvilke en nøkkel skal gis, og endre disse kontrollene etter forholdene tilsier.

• Det skal være omfattende, detaljert synlighet på hvem som får tilgang til de beskyttede dataene, når og hvor mange ganger.

  Denne detaljerte synligheten sikrer revisjonsbarhet for myndighetskrav og styrker analyser for bredere innsikt i bruksmønstre og potensielle problemer, som igjen forbedrer kontrollen.

Data: Åh, stedene det vil gå

Fra og med den første sannheten, er vi i stand til å konkludere med en viktig, pragmatisk driftsstandard: For at datasentrisk sikkerhet skal være effektiv, må dataene beskyttes på utgangspunktet. Hvis dataene er kryptert som det aller første trinnet i prosessen, er de sikre uansett hvor de går, på hvilket nettverk de reiser og hvor de til slutt holder til. Å gjøre noe annet krever tillit fra hver datamaskin, hver nettverkstilkobling og hver person fra det tidspunktet at informasjonen forlater opphavsmannens omsorg, og så lenge den eller noen kopier eksisterer.

Det er en stor antakelse å beskytte data på opprinnelsesstedet: Din datasentriske sikkerhetsløsning må kunne beskytte dataene uansett hvor de går. Som den første sannheten forteller oss, vil dataene og de mange naturlig opprettede kopiene gå til mange steder, inkludert mobile enheter, personlige enheter og nettskyen. En effektiv løsning må sikre data uavhengig av enheten, applikasjonen eller nettverket. Den må sikre disse dataene uavhengig av format eller beliggenhet, og uansett om de er i ro, i bevegelse eller i bruk. Den må lett strekke seg forbi perimetergrensen og være i stand til å beskytte ad-hoc-dialoger.

Det er her det er nyttig å stoppe og vurdere de mange punkt- og funksjonsspesifikke datasentriske sikkerhetsløsningene som er tilgjengelige på markedet. I og for seg skaper disse løsningene siloer av beskyttelse fordi - som den første kritiske sannheten tilsier - data vil ligge et sted utenfor operasjonsområdet. Fordi disse løsningene mangler allestedsnærværende beskyttelse, er byråer og bedrifter tvunget til å oppføre flere siloer. Til tross for den beste innsatsen fra disse flere siloene, er resultatene forutsigbare: Data vil fremdeles falle mellom hullene. Og disse hullene er nettopp der utenfor motstandere og ondsinnede insidere ligger og venter på å utnytte sårbarheter og stjele data. Videre representerer hver silo reelle kostnader ved å anskaffe, implementere og støtte den tilhørende løsningen, og den operasjonelle belastningen med å håndtere flere løsninger. (Mer gjennomtenkt: datasikkerhetsgapet Mange selskaper overser.)

Kryptering av data er bare ikke nok

Den andre sannheten sier at kryptering på egen hånd ikke er tilstrekkelig - den må kombineres med granulære og vedvarende kontroller. Handlingen med å dele innhold overgir effektivt kontrollen over det, og gjør mottakeren til medeier av dataene. Kontroller gjør det mulig for opphavsmannen å stille inn betingelsene som mottakeren får en nøkkel for å få tilgang til filen og aktivere alternativet til å diktere hva mottakeren kan gjøre når dataene er tilgjengelig. Dette inkluderer muligheten til å tilby bare visningsevne der mottakeren ikke kan lagre filen, kopiere / lime inn innhold eller skrive ut filen.

Begrepet "vedvarende" er en kritisk egenskap ved tilgangskontrollene som er nødvendige for effektiv datasentrisk sikkerhet. Dataene forblir praktisk talt bundet til opphavsmannen, som kan svare på endrede krav eller trusler ved å avslå tilgang eller endre vilkårene for tilgang når som helst. Disse endringene må brukes umiddelbart på alle kopier av dataene, uansett hvor de er bosatt. Husk at den første sannheten sier at dataene kan være på steder som opphavsmannen ikke vet eller som de ikke kan utøve kontroll over. Forkunnskap om hvor dataene er bosatt og fysisk tilgang til tilknyttede enheter kan derfor ikke antas. Vedvarende kontroll har den ekstra bonusen å adressere tilbakekall av data på tapte eller stjålne enheter som sannsynligvis aldri vil komme i kontakt med nettverket igjen.

Tilpasningsevne er en kritisk funksjon som samtidig skiller konkurrerende løsninger og støtter saken for en enhetlig, allestedsnærværende tilnærming. Ikke alle datasentriske sikkerhetsløsninger er skapt like, da noen bruker krypteringsmetoder oppfunnet før mobilitet, skyen og bred bruk av Internett. Med disse metodene settes tilgangskontrollene på i det øyeblikket dataene blir kryptert, men de mangler fordelene som følger med vedvarende kontroll.

Hvem, når og hvor mange ganger er data tilgjengelig?

Den tredje sannheten om effektiv datasentrisk sikkerhet er det absolutte behovet for omfattende synlighet og revisjonsevne. Dette inkluderer synlighet i all tilgangsaktivitet for hvert dataobjekt, autorisert og uautorisert. Det inkluderer også synlighet i hvilken som helst datatype, innenfor og utenfor omkretsgrensene. Omfattende revisjonsdata og avvisning gjør at en organisasjon kan vite hvem som bruker data, når og hvor ofte. Synlighet gir kontroll, og gir organisasjoner informasjonen til å gi raske og velinformerte svar på nådeløse forsøk på å filtrere informasjon. Denne synligheten bør utvide til organisasjonens bredere sikkerhetsøkosystem, og gi dataene til sikkerhetsinformasjon og hendelsesstyring (SIEM) verktøy og operasjonsanalyse. På sin side kan korrelasjonen og analysen gi innsikt som identifisering av mulige ondsinnede insidere.

Du blir brutt. Hvert lag med IT-sikkerhetsforsvar kan og vil bli kompromittert. Organisasjoner kan ikke lenger stole på omkretssikkerhet for å sikre sensitive data og åndsverk. De må se på alternative tilnærminger for å beskytte sensitiv informasjon. Det er ikke bare perimeterforsvar som sliter, ettersom mange datasentriske sikkerhetsløsninger ble bygget før mobilitet, BYOD, skyen og nettbaserte interaksjoner utenom domenet. Organisasjoner må henvende seg til datasentriske sikkerhetsløsninger som tar et utviklet syn og fullt ut tar tak i de harde sannhetene om å beskytte data i dagens raskt skiftende og svært komplekse datamiljø.