Inhaltsverzeichnis:
- Die 3 kritischen Wahrheiten der datenzentrierten Sicherheit
- Daten: Oh, die Orte, an die es gehen wird
- Verschlüsselung von Daten ist einfach nicht genug
- Wer, wann und wie oft wird auf Daten zugegriffen?
Dank toter Perimeter, hartnäckiger Gegner, Cloud, Mobilität und BYOD (Bring Your Own Device) ist datenzentrierte Sicherheit unerlässlich. Das Prinzip der datenzentrierten Sicherheit ist einfach: Wenn ein Netzwerk kompromittiert wird oder ein mobiles Gerät verloren geht oder gestohlen wird, werden die Daten geschützt. Die Organisationen, die diesen Paradigmenwechsel akzeptieren, haben erkannt, dass die Datensicherheit besser kontrolliert und sichtbarer werden muss, indem sie über herkömmliche Lösungen hinausblicken. Durch die Berücksichtigung dieser weiterentwickelten Sichtweise der datenzentrierten Sicherheit können Unternehmen auf allen Ebenen vertrauliche Daten schützen und diese Daten praktisch binden, unabhängig davon, wo sie sich befinden.
Datenzentrierte Sicherheitslösungen waren traditionell nach innen gerichtet und konzentrierten sich auf den Schutz von Daten innerhalb der Domäne des Unternehmens, während sie gesammelt und gespeichert werden. Daten bewegen sich jedoch vom Zentrum des Unternehmens weg und nicht dorthin, und Megatrends wie Cloud und Mobilität beschleunigen den Prozess nur. Effektive datenzentrierte Sicherheit schützt Daten, wenn diese vom Zentrum der Organisation entfernt werden, um gemeinsam genutzt und genutzt zu werden. Dies schließt Ad-hoc-Beziehungen über die Domänengrenze hinaus ein, die sichere Interaktionen mit Kunden und Partnern ermöglichen. (Machen Sie einige Hintergrundinformationen zur IT-Sicherheit. Probieren Sie die 7 Grundprinzipien der IT-Sicherheit aus.)
Die 3 kritischen Wahrheiten der datenzentrierten Sicherheit
Eine weiterentwickelte Sichtweise der datenzentrierten Sicherheit basiert auf drei kritischen Wahrheiten, die Aufschluss darüber geben, wie Sicherheit implementiert werden muss, um effektiv zu sein:- Daten werden an Orten abgelegt, die Sie nicht kennen, die Sie nicht kontrollieren können und denen Sie zunehmend nicht vertrauen können. Dies geschieht durch den normalen Ablauf der Verarbeitung, durch Benutzerfehler oder Selbstgefälligkeit oder durch böswillige Aktivitäten. Da die Orte, an denen Ihre Daten gespeichert sind, möglicherweise nicht vertrauenswürdig sind, können Sie sich nicht auf die Sicherheit des Netzwerks, Geräts oder der Anwendung verlassen, um diese Daten zu schützen.
- Verschlüsselung allein reicht nicht aus, um Daten zu schützen.
Die Verschlüsselung muss mit dauerhaften, anpassbaren Zugriffskontrollen kombiniert werden, die es dem Urheber ermöglichen, die Bedingungen zu definieren, unter denen ein Schlüssel erteilt wird, und diese Kontrollen entsprechend den Umständen zu ändern.
- Es sollte eine umfassende und detaillierte Übersicht darüber geben, wer wann und wie oft auf die geschützten Daten zugreift.
Diese detaillierte Sichtbarkeit gewährleistet die Überprüfbarkeit der regulatorischen Anforderungen und ermöglicht Analysen für einen umfassenderen Einblick in Nutzungsmuster und potenzielle Probleme, was wiederum die Kontrolle verbessert.
Daten: Oh, die Orte, an die es gehen wird
Ausgehend von der ersten Wahrheit können wir auf einen wichtigen, pragmatischen Betriebsstandard schließen: Damit datenzentrierte Sicherheit effektiv ist, müssen die Daten am Ursprungsort geschützt werden. Wenn die Daten als allererster Schritt in diesem Prozess verschlüsselt werden, ist sie sicher, unabhängig davon, wo sie sich befinden, in welchem Netzwerk sie sich befinden und wo sie sich letztendlich befinden. Andernfalls ist das Vertrauen jedes Computers, jeder Netzwerkverbindung und jeder Person von dem Punkt an erforderlich, an dem die Informationen der Sorgfalt des Urhebers entzogen sind und solange sie oder Kopien existieren.
Der Schutz von Daten am Ursprungsort stellt eine große Vermutung dar: Ihre datenzentrierte Sicherheitslösung muss in der Lage sein, die Daten überall zu schützen. Wie die erste Wahrheit uns sagt, werden die Daten und ihre vielen natürlich erzeugten Kopien an viele Orte gehen, einschließlich mobiler Geräte, persönlicher Geräte und der Cloud. Eine effektive Lösung muss Daten unabhängig von Gerät, Anwendung oder Netzwerk sichern. Es muss diese Daten unabhängig von ihrem Format oder Standort sichern und unabhängig davon, ob sie sich in Ruhe befinden, sich in Bewegung befinden oder verwendet werden. Es muss sich leicht über die Begrenzungslinie hinaus erstrecken und in der Lage sein, Ad-hoc-Dialoge zu schützen.
Hier ist es sinnvoll, die vielen auf dem Markt verfügbaren punkt- und funktionsspezifischen datenzentrierten Sicherheitslösungen in Betracht zu ziehen. Diese Lösungen bilden von Natur aus Schutzsilos, da sich Daten - wie die erste kritische Wahrheit besagt - außerhalb ihres Betriebsbereichs befinden. Da diesen Lösungen der allgegenwärtige Schutz fehlt, sind Agenturen und Unternehmen gezwungen, mehrere Silos zu errichten. Trotz aller Bemühungen dieser Mehrfachsilos sind die Ergebnisse vorhersehbar: Die Daten werden immer noch zwischen den Lücken liegen. Und genau in diesen Lücken warten externe Gegner und böswillige Insider, um Schwachstellen auszunutzen und Daten zu stehlen. Darüber hinaus stellt jedes Silo die tatsächlichen Kosten für die Beschaffung, Implementierung und Unterstützung der zugehörigen Lösung sowie die betriebliche Belastung durch die Verwaltung mehrerer Lösungen dar. (Weitere Denkanstöße: Die Lücke in Bezug auf die Datensicherheit, die viele Unternehmen übersehen.)
Verschlüsselung von Daten ist einfach nicht genug
Die zweite Wahrheit besagt, dass die Verschlüsselung alleine nicht ausreicht - sie muss mit granularen und dauerhaften Kontrollen kombiniert werden. Durch das Teilen von Inhalten wird die Kontrolle über den Inhalt effektiv aufgegeben, sodass der Empfänger Miteigentümer der Daten wird. Mithilfe von Steuerelementen kann der Absender die Bedingungen festlegen, unter denen dem Empfänger ein Schlüssel für den Zugriff auf die Datei gewährt wird, und die Option aktivieren, um festzulegen, was der Empfänger nach dem Zugriff auf die Daten tun kann. Dies schließt die Option ein, Nur-Anzeige-Funktionen bereitzustellen, bei denen der Empfänger die Datei nicht speichern, Inhalte kopieren / einfügen oder die Datei nicht drucken kann.
Der Begriff "dauerhaft" ist ein kritisches Merkmal der Zugriffskontrollen, die für eine effektive datenzentrierte Sicherheit erforderlich sind. Die Daten bleiben praktisch an den Urheber gebunden, der jederzeit auf sich ändernde Anforderungen oder Bedrohungen reagieren kann, indem er den Zugriff widerruft oder die Zugriffsbedingungen ändert. Diese Änderungen müssen sofort auf alle Kopien der Daten angewendet werden, wo immer sie sich befinden. Denken Sie daran, dass die erste Wahrheit besagt, dass sich die Daten möglicherweise an Orten befinden, die der Urheber nicht kennt oder über die er keine Kontrolle ausüben kann. Daher kann nicht vorausgesetzt werden, dass im Voraus bekannt ist, wo sich die Daten befinden, und dass physisch auf die zugeordneten Geräte zugegriffen werden kann. Persistente Kontrolle hat den zusätzlichen Vorteil, dass die Sperrung von Daten auf verlorenen oder gestohlenen Geräten behoben wird, die wahrscheinlich nie wieder mit dem Netzwerk in Kontakt kommen werden.
Anpassungsfähigkeit ist ein entscheidendes Merkmal, das gleichzeitig konkurrierende Lösungen unterscheidet und die Notwendigkeit eines einheitlichen, allgegenwärtigen Ansatzes unterstützt. Nicht alle datenzentrierten Sicherheitslösungen sind gleichwertig, da einige Verschlüsselungsmethoden verwenden, die vor der Mobilität, der Cloud und der breiten Akzeptanz des Internets entwickelt wurden. Bei diesen Methoden werden die Zugriffssteuerungen zum Zeitpunkt der Datenverschlüsselung festgelegt, es fehlen jedoch die Vorteile einer dauerhaften Steuerung.
Wer, wann und wie oft wird auf Daten zugegriffen?
Die dritte Wahrheit einer wirksamen datenzentrierten Sicherheit ist das unabdingbare Erfordernis einer umfassenden Sichtbarkeit und Überprüfbarkeit. Dies beinhaltet die Einsicht in alle Zugriffsaktivitäten für jedes Datenobjekt, autorisiert und nicht autorisiert. Es umfasst auch die Sichtbarkeit eines beliebigen Datentyps innerhalb und außerhalb der Umfangsgrenzen. Umfassende Audit-Daten und Zuverlässigkeit geben einem Unternehmen die Möglichkeit zu wissen, wer wann und wie oft Daten verwendet. Durch die Sichtbarkeit wird die Kontrolle gestärkt, und Unternehmen erhalten die Informationen, um schnell und sachkundig auf die unermüdlichen Versuche zu reagieren, Informationen zu filtern. Diese Transparenz sollte sich auf das breitere Sicherheitsumfeld des Unternehmens erstrecken und die Daten für Tools für Sicherheitsinformationen und Ereignisverwaltung (SIEM) sowie für Betriebsanalysen bereitstellen. Die Korrelation und Analyse kann wiederum zu Erkenntnissen führen, beispielsweise zur Identifizierung möglicher böswilliger Insider.
Sie werden verletzt. Jede Ebene der IT-Sicherheitsabwehr kann und wird gefährdet sein. Unternehmen können sich nicht mehr auf die Perimetersicherheit verlassen, um vertrauliche Daten und geistiges Eigentum zu schützen. Sie müssen nach alternativen Ansätzen suchen, um sensible Informationen zu schützen. Es gibt nicht nur Probleme mit der Perimeterverteidigung, da viele datenzentrierte Sicherheitslösungen vor der Mobilität, BYOD, der Cloud und webbasierten Interaktionen außerhalb von Domänen entwickelt wurden. Unternehmen müssen sich datenorientierten Sicherheitslösungen zuwenden, die eine weiterentwickelte Sichtweise haben und die harten Wahrheiten des Schutzes von Daten in der sich schnell ändernden und hochkomplexen Computerumgebung von heute vollständig berücksichtigen.
