Безопасность, ориентированная на данные

Подход к безопасности, ориентированный на сами данные, а не на сети

Безопасность, ориентированная на данные, — это подход к безопасности, который подчеркивает надежность самих данных , а не безопасность сетей , серверов или приложений. Безопасность, ориентированная на данные, быстро развивается, поскольку предприятия все больше полагаются на цифровую информацию для ведения своего бизнеса , а проекты по работе с большими данными становятся мейнстримом. ^[1]^[2]^[3] Она включает в себя разделение управления данными и цифровыми правами , которое назначает зашифрованные файлы предопределенным спискам контроля доступа, гарантируя, что права доступа к критически важным и конфиденциальным данным соответствуют документированным потребностям бизнеса и требованиям к работе, которые привязаны к идентификационным данным пользователей. ^[4]

Безопасность, ориентированная на данные, также позволяет организациям преодолеть разрыв между технологией безопасности ИТ и целями бизнес-стратегии, напрямую связывая службы безопасности с данными, которые они неявно защищают; эта связь часто затушевывается представлением безопасности как самоцели. ^[5]

Ключевые понятия

Общие процессы в модели безопасности, ориентированной на данные, включают: ^[6]

Обнаружение: возможность узнать, какие данные и где хранятся, включая конфиденциальную информацию.
Управление: возможность определять политики доступа, которые будут определять, доступны ли определенные данные, доступны ли они для редактирования или заблокированы для определенных пользователей или местоположений.
Защита: способность защищать данные от потери или несанкционированного использования, а также предотвращать отправку конфиденциальных данных неавторизованным пользователям или в несанкционированные места.
Мониторинг: постоянный мониторинг использования данных для выявления существенных отклонений от нормального поведения, которые могли бы указывать на возможные злонамеренные намерения.

С технической точки зрения безопасность, ориентированная на информацию (данные), основана на реализации следующих принципов: ^[7]

Информация (данные), которая сама себя описывает и защищает.
Политики и средства контроля, учитывающие бизнес-контекст.
Информация остается защищенной при перемещении в приложения и системы хранения и обратно, а также при изменении бизнес-контекста.
Политики, которые работают согласованно с использованием различных технологий управления данными и внедренных уровней защиты.

Технологии

Контроль и политика доступа к данным

Контроль доступа к данным — это выборочное ограничение доступа к данным. Доступ может означать просмотр, редактирование или использование. Определение надлежащего контроля доступа требует составления карты информации, где она находится, насколько она важна, для кого она важна, насколько конфиденциальны данные, а затем разработки соответствующих элементов управления. ^[8]

Шифрование

Шифрование — это проверенная технология, ориентированная на данные, для устранения риска кражи данных на смартфонах, ноутбуках, настольных компьютерах и даже серверах, включая облако. Одним из ограничений является то, что шифрование не всегда эффективно после того, как произошло сетевое вторжение, и киберпреступники работают с украденными действительными учетными данными пользователя. ^[9]

Маскировка данных

Маскировка данных — это процесс сокрытия определенных данных в таблице или ячейке базы данных для обеспечения безопасности данных и того, чтобы конфиденциальная информация не была раскрыта неавторизованному персоналу. Это может включать маскировку данных от пользователей, разработчиков, сторонних и аутсорсинговых поставщиков и т. д. Маскировка данных может быть достигнута несколькими способами: путем дублирования данных для устранения подмножества данных, которые необходимо скрыть, или путем динамического сокрытия данных по мере того, как пользователи выполняют запросы. ^[10]

Аудит

Мониторинг всей активности на уровне данных является ключевым компонентом стратегии безопасности, ориентированной на данные. Он обеспечивает видимость типов действий, которые пользователи и инструменты запросили и которым были авторизованы для определенных элементов данных. Непрерывный мониторинг на уровне данных в сочетании с точным контролем доступа может внести значительный вклад в обнаружение утечек данных в реальном времени, ограничить ущерб, нанесенный нарушением, и даже остановить вторжение, если внедрены надлежащие средства контроля. Опрос 2016 года ^[11] показывает, что большинство организаций по-прежнему не оценивают активность баз данных непрерывно и не имеют возможности своевременно выявлять нарушения баз данных.

Технологии повышения конфиденциальности

Технология повышения конфиденциальности (PET) — это метод защиты данных. PET позволяют пользователям в сети защищать конфиденциальность своей персонально идентифицируемой информации (PII), предоставляемой и обрабатываемой службами или приложениями. PET используют методы, позволяющие минимизировать владение персональными данными без потери функциональности информационной системы.

Облачные вычисления

Облачные вычисления — это развивающаяся парадигма с огромным импульсом, но ее уникальные аспекты усугубляют проблемы безопасности и конфиденциальности. Разнородность и разнообразие облачных сервисов и сред требуют мелкозернистых политик контроля доступа и сервисов, которые должны быть достаточно гибкими для захвата динамических, контекстных или основанных на атрибутах требований доступа и защиты данных. ^[12] Меры безопасности, ориентированные на данные, также могут помочь защитить от утечки данных и управления жизненным циклом информации. ^[13]

Смотрите также

Ссылки

^ Gartner Group (2014). «Gartner заявляет, что большие данные нуждаются в фокусе безопасности, ориентированном на данные». Архивировано из оригинала 11 июня 2014 г.
^ Институт SANS (2015). «Data-Centric Security Needed to Protect Big Data Implementations». Архивировано из оригинала 2021-01-17 . Получено 2015-11-17 .
^ IRI (2017). «Маскировка больших данных в Hadoop и очень больших базах данных».
^ Баюк, Дженнифер (2009-03-01). «Безопасность, ориентированная на данные». Computer Fraud & Security . 2009 (3): 7– 11. doi :10.1016/S1361-3723(09)70032-6. ISSN 1361-3723.
^ IEEE (2007). «Подъем обсуждения управления безопасностью: парадигма, ориентированная на данные».
^ Wired Magazine (2014). «Информационно-ориентированная безопасность: защитите свои данные изнутри-снаружи». Архивировано из оригинала 2016-03-27 . Получено 2015-11-17 .
^ Могулл, Рич (2014). «Жизненный цикл безопасности, ориентированный на информацию» (PDF) .
↑ Федеральное новостное радио (2015). «NASA Glenn становится все более ориентированным на данные по многим направлениям».
^ Решения по шифрованию с многофакторной аутентификацией гораздо более эффективны для предотвращения такого доступа. MIT Technology Review (2015). «Шифрование не остановило бы утечку данных Anthem». MIT Technology Review .
^ IRI (2017). «Программное обеспечение для динамического маскирования данных».
^ Dark Reading (2016). «Базы данных остаются уязвимым местом кибербезопасности».
^ IEEE (2010). «Проблемы безопасности и конфиденциальности в средах облачных вычислений» (PDF) .
^ Арора, Амандип Сингх; Раджа, Линеш; Бахл, Баркха (2018-04-25), Подход к безопасности, ориентированный на данные: способ достижения безопасности и конфиденциальности в облачных вычислениях (научная статья SSRN), Рочестер, Нью-Йорк, doi : 10.2139/ssrn.3168615, SSRN 3168615 , получено 2023-12-13 {{citation}}: CS1 maint: отсутствует местоположение издателя ( ссылка )

[1] Gartner Group (2014). «Gartner заявляет, что большие данные нуждаются в фокусе безопасности, ориентированном на данные». Архивировано из оригинала 11 июня 2014 г.

[2] Институт SANS (2015). «Data-Centric Security Needed to Protect Big Data Implementations». Архивировано из оригинала 2021-01-17 . Получено 2015-11-17 .

[3] IRI (2017). «Маскировка больших данных в Hadoop и очень больших базах данных».

[4] Баюк, Дженнифер (2009-03-01). «Безопасность, ориентированная на данные». Computer Fraud & Security . 2009 (3): 7– 11. doi :10.1016/S1361-3723(09)70032-6. ISSN 1361-3723.

[5] IEEE (2007). «Подъем обсуждения управления безопасностью: парадигма, ориентированная на данные».

[6] Wired Magazine (2014). «Информационно-ориентированная безопасность: защитите свои данные изнутри-снаружи». Архивировано из оригинала 2016-03-27 . Получено 2015-11-17 .

[7] Могулл, Рич (2014). «Жизненный цикл безопасности, ориентированный на информацию» (PDF) .

[8] Федеральное новостное радио (2015). «NASA Glenn становится все более ориентированным на данные по многим направлениям».

[9] Решения по шифрованию с многофакторной аутентификацией гораздо более эффективны для предотвращения такого доступа. MIT Technology Review (2015). «Шифрование не остановило бы утечку данных Anthem». MIT Technology Review .

[10] IRI (2017). «Программное обеспечение для динамического маскирования данных».

[11] Dark Reading (2016). «Базы данных остаются уязвимым местом кибербезопасности».

[12] IEEE (2010). «Проблемы безопасности и конфиденциальности в средах облачных вычислений» (PDF) .

[13] Арора, Амандип Сингх; Раджа, Линеш; Бахл, Баркха (2018-04-25), Подход к безопасности, ориентированный на данные: способ достижения безопасности и конфиденциальности в облачных вычислениях (научная статья SSRN), Рочестер, Нью-Йорк, doi : 10.2139/ssrn.3168615, SSRN 3168615 , получено 2023-12-13 {{citation}}: CS1 maint: отсутствует местоположение издателя ( ссылка )