Lar Segurança Criptografia não é suficiente: 3 verdades críticas sobre segurança de dados

Criptografia não é suficiente: 3 verdades críticas sobre segurança de dados

Índice:

Anonim

Graças a perímetros mortos, adversários persistentes, nuvem, mobilidade e traga seu próprio dispositivo (BYOD), a segurança centrada em dados é imperativa. O princípio da segurança centrada em dados é simples: se uma rede for comprometida ou um dispositivo móvel for perdido ou roubado, os dados serão protegidos. As organizações que aceitaram essa mudança de paradigma perceberam a necessidade de adicionar controle e visibilidade à segurança dos dados, procurando além das soluções tradicionais. Adotar essa visão evoluída da segurança centrada em dados permite que as organizações em todos os níveis protejam dados confidenciais, vinculando virtualmente esses dados, independentemente de onde residam.


As soluções de segurança centradas em dados são tradicionalmente voltadas para dentro e têm como foco proteger os dados no domínio da organização, à medida que são coletados e armazenados. No entanto, os dados estão se afastando do centro da organização, não em direção a ele, e mega tendências como nuvem e mobilidade estão apenas acelerando o processo. A segurança eficaz centrada em dados protege os dados à medida que eles se afastam do centro da organização para serem compartilhados e consumidos. Isso inclui relacionamentos ad-hoc além do limite do domínio, permitindo interações seguras com clientes e parceiros. (Faça algumas leituras básicas sobre segurança de TI. Experimente Os 7 princípios básicos de segurança de TI.)

As três verdades críticas da segurança centrada em dados

Uma visão evoluída da segurança centrada em dados é baseada em três verdades críticas que apontam o caminho para como a segurança deve ser implementada para ser eficaz:

  • Os dados vão para lugares que você não conhece, não pode controlar e cada vez mais não pode confiar. Isso acontece no curso normal do processamento, no erro ou complacência do usuário ou em atividades maliciosas. Como os locais onde seus dados vão podem não ser confiáveis, você não pode confiar na segurança da rede, dispositivo ou aplicativo para proteger esses dados.
  • A criptografia sozinha não é suficiente para proteger os dados.

    A criptografia deve ser combinada com controles de acesso adaptáveis ​​e persistentes que permitem ao remetente definir as condições sob as quais uma chave será concedida e alterá-los conforme as circunstâncias o exigirem.

  • Deve haver visibilidade abrangente e detalhada sobre quem acessa os dados protegidos, quando e quantas vezes.

    Essa visibilidade detalhada garante a auditoria dos requisitos regulatórios e fornece análises para uma visão mais ampla dos padrões de uso e possíveis problemas, o que, por sua vez, melhora o controle.

Data: Ah, os lugares para onde vai

Começando com a primeira verdade, somos capazes de concluir um padrão operacional importante e pragmático: Para que a segurança centrada em dados seja eficaz, os dados devem ser protegidos no ponto de origem. Se os dados são criptografados como a primeira etapa do processo, eles são seguros, não importa para onde vão, em qual rede eles viajam e onde eventualmente residem. Fazer o contrário requer a confiança de todos os computadores, conexões de rede e pessoas, a partir do momento em que as informações saem dos cuidados do remetente e enquanto existirem ou cópias.


A proteção de dados no ponto de origem faz uma grande suposição: Sua solução de segurança centrada em dados deve poder proteger os dados onde quer que eles sejam. Como a primeira verdade nos diz, os dados e suas muitas cópias criadas naturalmente irão para muitos lugares, incluindo dispositivos móveis, dispositivos pessoais e a nuvem. Uma solução eficaz deve proteger os dados independentemente do dispositivo, aplicativo ou rede. Ele deve proteger esses dados, independentemente de seu formato ou localização, e independentemente de estarem em repouso, em movimento ou em uso. Ele deve ultrapassar rapidamente o limite do perímetro e ser capaz de proteger diálogos ad-hoc.


É aqui que é útil parar e considerar as muitas soluções de segurança centradas em dados, específicas de pontos e funções, disponíveis no mercado. Por sua própria natureza, essas soluções criam silos de proteção porque - como a primeira verdade crítica exige - os dados residem em algum lugar fora do seu período de operação. Como essas soluções carecem da proteção onipresente necessária, agências e empresas são obrigadas a montar vários silos. No entanto, apesar dos melhores esforços desses vários silos, os resultados são previsíveis: os dados ainda cairão entre as lacunas. E essas lacunas são precisamente onde adversários externos e profissionais mal-intencionados aguardam para explorar vulnerabilidades e roubar dados. Além disso, cada silo representa custos reais na aquisição, implementação e suporte da solução associada e o ônus operacional de gerenciar várias soluções. (Mais informações: a lacuna de segurança de dados que muitas empresas ignoram.)

Criptografia de dados não é suficiente

A segunda verdade afirma que a criptografia por si só não é suficiente - ela deve ser combinada com controles granulares e persistentes. O ato de compartilhar conteúdo efetivamente renuncia ao controle sobre ele, essencialmente tornando o destinatário co-proprietário dos dados. Os controles permitem que o remetente defina as condições sob as quais o destinatário recebe uma chave para acessar o arquivo e habilite a opção de determinar o que o destinatário pode fazer quando os dados forem acessados. Isso inclui a opção de fornecer recurso somente visualização, onde o destinatário não pode salvar o arquivo, copiar / colar o conteúdo ou imprimir o arquivo.


O termo "persistente" é uma característica crítica dos controles de acesso necessários para uma segurança efetiva centrada em dados. Os dados permanecem virtualmente conectados ao remetente, que pode responder a alterações de requisitos ou ameaças, revogando o acesso ou alterando as condições de acesso a qualquer momento. Essas alterações devem ser aplicadas instantaneamente a todas as cópias dos dados, onde quer que residam. Lembre-se de que a primeira verdade afirma que os dados podem estar em locais que o autor não conhece ou sobre os quais não pode exercer controle. Portanto, o conhecimento prévio de onde os dados residem e o acesso físico aos dispositivos associados não podem ser assumidos. O controle persistente tem o bônus adicional de abordar a revogação de dados em dispositivos perdidos ou roubados que provavelmente nunca mais entrarão em contato com a rede.


A adaptabilidade é um recurso crítico que diferencia simultaneamente as soluções concorrentes e suporta o caso de uma abordagem unificada e onipresente. Nem todas as soluções de segurança centradas em dados são criadas da mesma forma, pois alguns usam métodos de criptografia inventados antes da mobilidade, da nuvem e da ampla adoção da Internet. Com esses métodos, os controles de acesso são definidos no momento em que os dados são criptografados, mas eles não têm os benefícios que acompanham o controle persistente.

Quem, quando e quantas vezes os dados são acessados?

A terceira verdade da segurança eficaz centrada em dados é a necessidade absoluta de visibilidade e auditabilidade abrangentes. Isso inclui visibilidade em todas as atividades de acesso para cada objeto de dados, autorizado e não autorizado. Também inclui visibilidade em qualquer tipo de dados, dentro e fora dos limites do perímetro. Dados abrangentes de auditoria e não repúdio permitem que uma organização saiba quem está usando os dados, quando e com que frequência. A visibilidade fortalece o controle, fornecendo às organizações as informações necessárias para obter respostas rápidas e bem informadas às tentativas implacáveis ​​de exfiltrar informações. Essa visibilidade deve se estender ao ecossistema de segurança mais amplo da organização, fornecendo dados para ferramentas de informações de segurança e gerenciamento de eventos (SIEM) e análises operacionais. Por sua vez, a correlação e a análise podem gerar insights, como a identificação de possíveis insiders maliciosos.


Você será violado. Todas as camadas de defesas de segurança de TI podem e serão comprometidas. As organizações não podem mais confiar na segurança do perímetro para proteger dados confidenciais e propriedade intelectual. Eles devem procurar abordagens alternativas para proteger informações confidenciais. Não são apenas as defesas de perímetro que enfrentam problemas, pois muitas soluções de segurança centradas em dados foram criadas antes da mobilidade, BYOD, a nuvem e as interações extra-domínio baseadas na Web. As organizações devem recorrer a soluções de segurança centradas em dados que adotam uma visão evoluída, abordando completamente as verdades duras de proteção de dados no atual ambiente de computação altamente complexo e em rápida mudança de hoje.

Criptografia não é suficiente: 3 verdades críticas sobre segurança de dados