Inhoudsopgave:
- De 3 kritische waarheden van datacentrische beveiliging
- Gegevens: Oh, de plaatsen waar het naartoe gaat
- Versleuteling van gegevens is gewoon niet genoeg
- Wie, wanneer en hoe vaak worden gegevens gebruikt?
Dankzij dode perimeters, hardnekkige tegenstanders, de cloud, mobiliteit en uw eigen apparaat (BYOD), is gegevensgerichte beveiliging noodzakelijk. Het principe van gegevensgerichte beveiliging is eenvoudig: als een netwerk is aangetast of een mobiel apparaat is verloren of gestolen, worden de gegevens beveiligd. De organisaties die deze paradigmaverschuiving accepteren, hebben de noodzaak ingezien om controle en zichtbaarheid aan gegevensbeveiliging toe te voegen door verder te kijken dan traditionele oplossingen. Het omarmen van dit geëvolueerde beeld van gegevensgerichte beveiliging stelt organisaties op alle niveaus in staat om gevoelige gegevens te beschermen en deze gegevens vrijwel overal vast te leggen, ongeacht waar deze zich bevinden.
Gegevensgerichte beveiligingsoplossingen zijn van oudsher naar binnen gericht en hebben zich gericht op het beschermen van gegevens binnen het domein van de organisatie wanneer deze worden verzameld en opgeslagen. Gegevens verplaatsen zich echter naar het centrum van de organisatie, niet naar het centrum, en megatrends zoals cloud en mobiliteit versnellen het proces alleen maar. Effectieve gegevensgerichte beveiliging beschermt gegevens terwijl deze zich verplaatsen naar het midden van de organisatie om te worden gedeeld en geconsumeerd. Dit omvat ad-hocrelaties buiten de domeingrens, waardoor veilige interacties met klanten en partners mogelijk zijn. (Lees wat achtergrondinformatie over IT-beveiliging. Probeer de 7 basisprincipes van IT-beveiliging.)
De 3 kritische waarheden van datacentrische beveiliging
Een geëvolueerde kijk op gegevensgerichte beveiliging is gebaseerd op drie kritische waarheden die wijzen op hoe beveiliging moet worden geïmplementeerd om effectief te zijn:- Gegevens gaan naar plaatsen die u niet kent, die u niet kunt controleren en in toenemende mate niet kunt vertrouwen. Dit gebeurt via de normale verwerking, door gebruikersfouten of zelfgenoegzaamheid of door kwaadwillende activiteit. Omdat de plaatsen waar uw gegevens naartoe gaan mogelijk niet vertrouwd zijn, kunt u niet vertrouwen op de beveiliging van het netwerk, apparaat of applicatie om die gegevens te beschermen.
- Versleuteling alleen is niet voldoende om gegevens te beschermen.
Versleuteling moet worden gecombineerd met persistente, aanpasbare toegangscontroles waarmee de opsteller de voorwaarden kan bepalen waaronder een sleutel wordt toegekend, en die controles naar behoefte kan wijzigen.
- Er moet een uitgebreid en gedetailleerd inzicht zijn in wie toegang heeft tot de beveiligde gegevens, wanneer en hoe vaak.
Deze gedetailleerde zichtbaarheid zorgt voor controleerbaarheid van wettelijke vereisten en maakt analyses mogelijk voor een breder inzicht in gebruikspatronen en potentiële problemen, wat op zijn beurt de controle verbetert.
Gegevens: Oh, de plaatsen waar het naartoe gaat
Beginnend met de eerste waarheid, kunnen we een belangrijke, pragmatische operationele standaard concluderen: om gegevensgerichte beveiliging effectief te laten zijn, moeten de gegevens worden beschermd op het punt van oorsprong. Als de gegevens worden gecodeerd als de eerste stap in het proces, zijn ze veilig, ongeacht waar ze naartoe gaan, op welk netwerk ze zich verplaatsen en waar ze zich uiteindelijk bevinden. Als u dit anders doet, is het vertrouwen van elke computer, elke netwerkverbinding en elke persoon vereist vanaf het moment dat de informatie de zorg van de maker verlaat, en zolang deze of kopieën bestaan.
Het beschermen van gegevens op het punt van oorsprong is een grote veronderstelling: uw gegevensgerichte beveiligingsoplossing moet de gegevens overal kunnen beschermen. Zoals de eerste waarheid ons vertelt, zullen de gegevens en de vele natuurlijk gemaakte kopieën ervan naar veel plaatsen gaan, waaronder mobiele apparaten, persoonlijke apparaten en de cloud. Een effectieve oplossing moet gegevens beveiligen, onafhankelijk van het apparaat, de toepassing of het netwerk. Het moet die gegevens beveiligen, ongeacht het formaat of de locatie, en ongeacht of deze in rust, in beweging of in gebruik zijn. Het moet gemakkelijk voorbij de omtrek van de omtrek reiken en in staat zijn ad-hoc dialoogvensters te beschermen.
Dit is waar het nuttig is om te stoppen en de vele punt- en functiespecifieke gegevensgerichte beveiligingsoplossingen op de markt te overwegen. Door hun aard creëren deze oplossingen silo's van bescherming omdat - zoals de eerste kritische waarheid dicteert - gegevens zich buiten hun werkbereik zullen bevinden. Omdat deze oplossingen de alomtegenwoordige bescherming missen die nodig is, zijn agentschappen en bedrijven gedwongen meerdere silo's op te zetten. Ondanks de inspanningen van deze meerdere silo's zijn de resultaten voorspelbaar: gegevens zullen nog steeds tussen de gaten vallen. En deze lacunes zijn precies waar externe tegenstanders en kwaadwillende insiders op de loer liggen om kwetsbaarheden te misbruiken en gegevens te stelen. Bovendien vertegenwoordigt elke silo reële kosten voor het verwerven, implementeren en ondersteunen van de bijbehorende oplossing en de operationele last van het beheer van meerdere oplossingen. (Meer stof tot nadenken: de gegevensbeveiliging klokt veel bedrijven over het hoofd.)
Versleuteling van gegevens is gewoon niet genoeg
De tweede waarheid stelt dat codering alleen niet voldoende is - het moet worden gecombineerd met granulaire en aanhoudende controles. Het delen van inhoud geeft de controle er effectief over af, waardoor de ontvanger in wezen mede-eigenaar van de gegevens wordt. Met besturingselementen kan de maker de voorwaarden instellen waaronder de ontvanger een sleutel krijgt om toegang te krijgen tot het bestand en de optie instellen om te dicteren wat de ontvanger kan doen zodra de gegevens zijn geopend. Dit omvat de optie om alleen weergave te bieden wanneer de ontvanger het bestand niet kan opslaan, inhoud kan kopiëren / plakken of het bestand niet kan afdrukken.
De term "persistent" is een kritisch kenmerk van de toegangscontroles die nodig zijn voor effectieve gegevensgerichte beveiliging. De gegevens blijven vrijwel gebonden aan de opsteller, die kan reageren op veranderende vereisten of bedreigingen door de toegang op elk gewenst moment in te trekken of de toegangsvoorwaarden te wijzigen. Deze wijzigingen moeten onmiddellijk worden toegepast op alle kopieën van de gegevens, waar ze zich ook bevinden. Vergeet niet dat de eerste waarheid stelt dat de gegevens zich kunnen bevinden op plaatsen die de opdrachtgever niet kent of waarover hij geen controle kan uitoefenen. Daarom kan geen voorkennis worden aangenomen van waar de gegevens zich bevinden en fysieke toegang tot de bijbehorende apparaten. Aanhoudende controle heeft de toegevoegde bonus van het verhelpen van gegevens over verloren of gestolen apparaten die waarschijnlijk nooit meer in contact zullen komen met het netwerk.
Aanpassingsvermogen is een kritieke functie die tegelijkertijd concurrerende oplossingen onderscheidt en de noodzaak van een uniforme, alomtegenwoordige aanpak ondersteunt. Niet alle gegevensgerichte beveiligingsoplossingen zijn op dezelfde manier gemaakt, omdat sommige coderingsmethoden gebruiken die zijn uitgevonden vóór mobiliteit, de cloud en een brede acceptatie van internet. Met deze methoden worden de toegangscontroles ingesteld op het moment dat de gegevens worden gecodeerd, maar ze missen de voordelen van permanente controle.
Wie, wanneer en hoe vaak worden gegevens gebruikt?
De derde waarheid van effectieve gegevensgerichte beveiliging is de absolute behoefte aan uitgebreide zichtbaarheid en controleerbaarheid. Dit omvat inzicht in alle toegangsactiviteiten voor elk gegevensobject, geautoriseerd en ongeautoriseerd. Het biedt ook inzicht in elk gegevenstype, binnen en buiten de perimetergrenzen. Uitgebreide auditgegevens en non-repudiation stelt een organisatie in staat om te weten wie gegevens gebruikt, wanneer en hoe vaak. Zichtbaarheid geeft controle, waardoor organisaties de informatie krijgen om snelle en goed geïnformeerde antwoorden te geven op de meedogenloze pogingen om informatie te exfiltreren. Deze zichtbaarheid moet zich uitstrekken tot het bredere beveiligingsecosysteem van de organisatie en de gegevens verstrekken aan beveiligingsinformatie en SIEM-tools (Event Management) en operationele analyse. Op zijn beurt kan de correlatie en analyse inzichten opleveren, zoals de identificatie van mogelijke kwaadwillende insiders.
Je wordt overtreden. Elke laag van IT-beveiligingsmaatregelen kan en zal worden aangetast. Organisaties kunnen niet langer vertrouwen op perimeterbeveiliging om gevoelige gegevens en intellectueel eigendom te beveiligen. Ze moeten naar alternatieve benaderingen kijken om gevoelige informatie te beschermen. Het zijn niet alleen de perimeterafweer die het moeilijk heeft, want veel data-centrische beveiligingsoplossingen werden gebouwd vóór mobiliteit, BYOD, de cloud en webgebaseerde, extra-domein interacties. Organisaties moeten zich richten op gegevensgerichte beveiligingsoplossingen die een geëvolueerde kijk hebben, waarbij volledig rekening wordt gehouden met de harde waarheden van het beschermen van gegevens in de snel veranderende en zeer complexe computeromgeving van vandaag.