Προστασία δεδομένων αιχμής στην εποχή της αποκέντρωσης

Η νέα στροφή παραδείγματος προς την αποκέντρωση των δεδομένων μπορεί να αποτελέσει ένα καμπανάκι για αλλαγή στον τρόπο με τον οποίο οι οργανισμοί αντιμετωπίζουν την προστασία των άκρων.

Οι κυβερνοεπιθέσεις μπορούν να επιδεινώσουν τα υπάρχοντα ζητήματα ασφάλειας και να εκθέσουν νέα κενά στην άκρη, παρουσιάζοντας μια σειρά προκλήσεων για το προσωπικό πληροφορικής και ασφάλειας. Η υποδομή πρέπει να αντέχει τα τρωτά σημεία που συνεπάγεται ο μαζικός πολλαπλασιασμός συσκευών που παράγουν, συλλαμβάνουν και καταναλώνουν δεδομένα εκτός του παραδοσιακού κέντρου δεδομένων. Η ανάγκη για μια ολιστική στρατηγική ανθεκτικότητας στον κυβερνοχώρο δεν ήταν ποτέ μεγαλύτερη — όχι μόνο για την προστασία των δεδομένων στην άκρη, αλλά για την ενοποίηση της προστασίας από όλα τα τελικά σημεία μιας επιχείρησης σε κεντρικά κέντρα δεδομένων και δημόσια σύννεφα.

Ωστόσο, προτού φτάσουμε στα οφέλη ενός ολιστικού πλαισίου για την ανθεκτικότητα στον κυβερνοχώρο, μπορεί να βοηθήσει να κατανοήσουμε καλύτερα γιατί το edge είναι συχνά επιρρεπές σε κυβερνοεπιθέσεις και πώς η τήρηση ορισμένων δοκιμασμένων βέλτιστων πρακτικών ασφαλείας μπορεί να βοηθήσει στην ενίσχυση άμυνες άκρων.

Ο αντίκτυπος του ανθρώπινου λάθους

Η συμβατική σοφία πληροφορικής λέει ότι η ασφάλεια είναι εξίσου ισχυρή στον πιο αδύναμο κρίκο της: στους ανθρώπους.

Το ανθρώπινο σφάλμα μπορεί να είναι η διαφορά μεταξύ μιας ανεπιτυχούς επίθεσης και μιας επίθεσης που προκαλεί διακοπή λειτουργίας της εφαρμογής, απώλεια δεδομένων ή οικονομική απώλεια. Πάνω από το ήμισυ της νέας υποδομής πληροφορικής των επιχειρήσεων θα είναι στο όριο μέχρι το 2023, σύμφωνα με IDC. Επιπλέον, μέχρι το 2025, η Gartner προβλέπει ότι 75% των δεδομένων που δημιουργούνται από την επιχείρηση θα δημιουργηθούν και θα υποβληθούν σε επεξεργασία εκτός ενός παραδοσιακού κέντρου δεδομένων ή cloud.

Η πρόκληση είναι η διασφάλιση και η προστασία κρίσιμων δεδομένων σε περιβάλλοντα άκρων όπου η επιφάνεια επίθεσης αυξάνεται εκθετικά και η σχεδόν άμεση πρόσβαση στα δεδομένα είναι επιτακτική.

Με τόσα πολλά δεδομένα που έρχονται και φεύγουν από τα τελικά σημεία ενός οργανισμού, ο ρόλος που διαδραματίζουν οι άνθρωποι στη διασφάλιση της ασφάλειάς του μεγεθύνεται. Για παράδειγμα, η αποτυχία εφαρμογής της βασικής υγιεινής στον κυβερνοχώρο (επαναχρησιμοποίηση κωδικών πρόσβασης, άνοιγμα μηνυμάτων ηλεκτρονικού „ψαρέματος“ ή λήψη κακόβουλου λογισμικού) μπορεί να δώσει σε έναν εγκληματία του κυβερνοχώρου τα κλειδιά για το βασίλειο χωρίς να το γνωρίζει κανένας στον τομέα της πληροφορικής.

Εκτός από τους κινδύνους που συνδέονται με την παράβλεψη των τυπικών πρωτοκόλλων ασφαλείας, οι τελικοί χρήστες ενδέχεται να φέρουν μη εγκεκριμένες συσκευές στο χώρο εργασίας, δημιουργώντας πρόσθετα τυφλά σημεία για τον οργανισμό πληροφορικής. Και, ίσως η μεγαλύτερη πρόκληση είναι ότι τα περιβάλλοντα αιχμής συνήθως δεν είναι στελεχωμένα με διαχειριστές IT, επομένως υπάρχει έλλειψη εποπτείας τόσο στα συστήματα που αναπτύσσονται στο edge όσο και στα άτομα που τα χρησιμοποιούν.

Ενώ η αξιοποίηση των δεδομένων που δημιουργούνται στο όριο είναι κρίσιμης σημασίας για την ανάπτυξη στη σημερινή ψηφιακή οικονομία, πώς μπορούμε να ξεπεράσουμε την πρόκληση της διασφάλισης μιας διευρυνόμενης επιφάνειας επιθέσεων με τις απειλές στον κυβερνοχώρο να γίνονται πιο εξελιγμένες και επεμβατικές από ποτέ;

Μια πολυεπίπεδη προσέγγιση

Μπορεί να φαίνεται ότι δεν υπάρχουν απλές απαντήσεις, αλλά οι οργανισμοί μπορούν να ξεκινήσουν εξετάζοντας τρία θεμελιώδη βασικά στοιχεία για την ασφάλεια και την προστασία δεδομένων: Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα (CIA).

• Εμπιστευτικότητα: Τα δεδομένα προστατεύονται από μη εξουσιοδοτημένη παρατήρηση ή αποκάλυψη τόσο κατά τη μεταφορά, όσο και κατά τη χρήση και κατά την αποθήκευση.
• Ακεραιότητα: Τα δεδομένα προστατεύονται από αλλοίωση, κλοπή ή διαγραφή από μη εξουσιοδοτημένους εισβολείς.
• Διαθεσιμότητα: Τα δεδομένα είναι πολύ διαθέσιμα μόνο σε εξουσιοδοτημένους χρήστες όπως απαιτείται.

Εκτός από την υιοθέτηση των αρχών της CIA, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο εφαρμογής μιας πολυεπίπεδης προσέγγισης για την προστασία και την ασφάλεια της υποδομής και των δεδομένων στην άκρη. Αυτό συνήθως εμπίπτει σε τρεις κατηγορίες: το φυσικό επίπεδο, το λειτουργικό επίπεδο και το επίπεδο εφαρμογής.

Φυσική στρώση

Τα κέντρα δεδομένων είναι κατασκευασμένα για φυσική ασφάλεια με ένα σύνολο πολιτικών και πρωτοκόλλων που έχουν σχεδιαστεί για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και την αποφυγή φυσικής ζημιάς ή απώλειας της υποδομής πληροφορικής και των δεδομένων που είναι αποθηκευμένα σε αυτά. Στην άκρη, ωστόσο, οι διακομιστές και άλλες υποδομές πληροφορικής είναι πιθανό να στεγάζονται δίπλα σε μια γραμμή συναρμολόγησης, σε αποθήκη ενός καταστήματος λιανικής ή ακόμα και στη βάση ενός φαναριού. Αυτό καθιστά τα δεδομένα στο edge πολύ πιο ευάλωτα, απαιτώντας σκληρυμένες λύσεις που θα συμβάλλουν στη διασφάλιση της φυσικής ασφάλειας της υποδομής εφαρμογών ακμών.

Οι βέλτιστες πρακτικές που πρέπει να ληφθούν υπόψη για τη φυσική ασφάλεια στην άκρη περιλαμβάνουν:

• Έλεγχος υποδομών και συσκευών καθ‘ όλη τη διάρκεια του κύκλου ζωής τους από άκρο σε άκρο, από την αλυσίδα εφοδιασμού και το εργοστάσιο έως τη λειτουργία έως τη διάθεση.
• Αποτροπή αλλαγών ή πρόσβασης συστημάτων χωρίς άδεια.
• Προστασία ευάλωτων σημείων πρόσβασης, όπως ανοιχτές θύρες, από κακούς παράγοντες.
• Αποτροπή απώλειας δεδομένων σε περίπτωση κλοπής ή παραποίησης συσκευής ή συστήματος.

Λειτουργικό στρώμα

Πέρα από τη φυσική ασφάλεια, η υποδομή πληροφορικής υπόκειται σε ένα άλλο σύνολο τρωτών σημείων μόλις τεθεί σε λειτουργία στην αιχμή. Στο κέντρο δεδομένων, η υποδομή αναπτύσσεται και διαχειρίζεται σύμφωνα με ένα σύνολο αυστηρά ελεγχόμενων διαδικασιών και διαδικασιών. Ωστόσο, τα περιβάλλοντα αιχμής τείνουν να καθυστερούν σε συγκεκριμένο λογισμικό ασφαλείας και απαραίτητες ενημερώσεις, συμπεριλαμβανομένης της προστασίας δεδομένων. Ο τεράστιος αριθμός συσκευών που αναπτύσσονται και η έλλειψη ορατότητας στις συσκευές καθιστά δύσκολη την ασφάλεια των τελικών σημείων έναντι ενός κεντρικού κέντρου δεδομένων.

Οι βέλτιστες πρακτικές που πρέπει να ληφθούν υπόψη για τη διασφάλιση της υποδομής πληροφορικής στην άκρη περιλαμβάνουν:

• Εξασφάλιση ασφαλούς περιστροφής εκκίνησης για υποδομές με εικόνα χωρίς συμβιβασμούς.
• Έλεγχος πρόσβασης στο σύστημα, όπως κλείδωμα θυρών για αποφυγή φυσικής πρόσβασης.
• Εγκατάσταση εφαρμογών σε γνωστό ασφαλές περιβάλλον.

Επίπεδο εφαρμογής

Μόλις φτάσετε στο επίπεδο εφαρμογής, η προστασία δεδομένων μοιάζει πολύ με την παραδοσιακή ασφάλεια του κέντρου δεδομένων. Ωστόσο, ο μεγάλος όγκος μεταφοράς δεδομένων σε συνδυασμό με τον μεγάλο αριθμό τελικών σημείων που είναι εγγενείς στον υπολογισμό ακμών ανοίγει σημεία επίθεσης καθώς τα δεδομένα ταξιδεύουν μεταξύ της άκρης, του κέντρου δεδομένων πυρήνα και προς το νέφος και πίσω.

Οι βέλτιστες πρακτικές που πρέπει να ληφθούν υπόψη για την ασφάλεια εφαρμογών στην άκρη περιλαμβάνουν:

• Ασφάλιση εξωτερικών σημείων σύνδεσης.
• Εντοπισμός και κλείδωμα εκθέσεων που σχετίζονται με τη δημιουργία αντιγράφων ασφαλείας και την αναπαραγωγή.
• Διασφάλιση ότι η κυκλοφορία εφαρμογών προέρχεται από γνωστούς πόρους.

Ανάρρωση από το αναπόφευκτο

Ενώ η CIA και η υιοθέτηση μιας πολυεπίπεδης προσέγγισης για την προστασία των άκρων μπορούν να μετριάσουν σημαντικά τον κίνδυνο, οι επιτυχημένες επιθέσεις στον κυβερνοχώρο είναι αναπόφευκτες. Οι οργανισμοί χρειάζονται διαβεβαίωση ότι μπορούν να ανακτήσουν γρήγορα δεδομένα και συστήματα μετά από μια κυβερνοεπίθεση. Η ανάκαμψη είναι ένα κρίσιμο βήμα για την επανέναρξη της κανονικής επιχειρηματικής λειτουργίας.

Προφυλαγμένο Λιμάνι, ένας μη κερδοσκοπικός οργανισμός που δημιουργήθηκε για την προστασία των χρηματοπιστωτικών ιδρυμάτων – και της εμπιστοσύνης του κοινού στο χρηματοπιστωτικό σύστημα – υποστηρίζει την ανάγκη για σχέδια ανάκαμψης στον κυβερνοχώρο εδώ και χρόνια. Συνιστά στους οργανισμούς να δημιουργούν αντίγραφα ασφαλείας κρίσιμων δεδομένων λογαριασμού πελατών κάθε βράδυ, είτε διαχειρίζονται το δικό τους θησαυροφυλάκιο δεδομένων είτε χρησιμοποιώντας έναν συμμετέχοντα πάροχο υπηρεσιών για να το κάνουν για λογαριασμό τους. Και στις δύο περιπτώσεις, το θησαυροφυλάκιο δεδομένων πρέπει να είναι κρυπτογραφημένο, αμετάβλητο και πλήρως απομονωμένο από την υποδομή του ιδρύματος (συμπεριλαμβανομένων όλων των αντιγράφων ασφαλείας).

Με το θησαυροφυλάκιο δεδομένων στην άκρη σε ένα περιφερειακό κέντρο δεδομένων ή στο cloud μέσω μιας αυτοματοποιημένης λύσης με διάκενο αέρα, οι οργανισμοί μπορούν να διασφαλίσουν ότι είναι αμετάβλητα για την εμπιστοσύνη των δεδομένων. Μόλις βρεθεί στο θησαυροφυλάκιο, μπορεί να αναλυθεί για προληπτικό εντοπισμό οποιουδήποτε κινδύνου στον κυβερνοχώρο για προστατευμένα δεδομένα. Η αποφυγή απώλειας δεδομένων και η ελαχιστοποίηση του δαπανηρού χρόνου διακοπής λειτουργίας με τα εργαλεία ανάλυσης και αποκατάστασης στο θησαυροφυλάκιο μπορεί να συμβάλει στη διασφάλιση της ακεραιότητας των δεδομένων και στην επιτάχυνση της ανάκτησης.

Backup-as-a-service

Οι οργανισμοί μπορούν να αντιμετωπίσουν κατά μέτωπο τις προκλήσεις προστασίας δεδομένων αιχμής και ασφάλειας στον κυβερνοχώρο αναπτύσσοντας και διαχειριζόμενοι ολιστικές σύγχρονες λύσεις προστασίας δεδομένων on-premises, στο edge και στο cloud ή αξιοποιώντας λύσεις Backup as-a-Service (BaaS). Μέσω του BaaS, μεγάλες και μικρές επιχειρήσεις μπορούν να αξιοποιήσουν την ευελιξία και τις οικονομίες κλίμακας της δημιουργίας αντιγράφων ασφαλείας βάσει cloud και της μακροπρόθεσμης διατήρησης για την προστασία των κρίσιμων δεδομένων στην άκρη — κάτι που μπορεί να είναι ιδιαίτερα σημαντικό σε σενάρια απομακρυσμένης εργασίας.

Με το BaaS, οι οργανισμοί έχουν ένα πολύ απλοποιημένο περιβάλλον για τη διαχείριση της προστασίας και της ασφάλειας, καθώς δεν χρειάζεται να αναπτυχθεί ή να διαχειρίζεται καμία υποδομή προστασίας δεδομένων — όλα παρέχονται εκτός cloud. Και με τις υπηρεσίες που βασίζονται σε συνδρομές, οι ενδιαφερόμενοι φορείς πληροφορικής έχουν χαμηλότερο κόστος εισόδου και ένα προβλέψιμο μοντέλο κόστους για την προστασία και την ασφάλεια των δεδομένων σε περιβάλλοντα άκρου, πυρήνα και cloud, δίνοντάς τους μια εικονική τριπλή προστασία, ασφάλεια και συμμόρφωση.

Ως μέρος μιας μεγαλύτερης στρατηγικής μηδενικής εμπιστοσύνης ή άλλης στρατηγικής ασφάλειας, οι οργανισμοί θα πρέπει να εξετάσουν μια ολιστική προσέγγιση που περιλαμβάνει πρότυπα, κατευθυντήριες γραμμές, ανθρώπους, επιχειρηματικές διαδικασίες και τεχνολογικές λύσεις και υπηρεσίες για την ασφάλεια στον κυβερνοχώρο.

Η απειλή των κυβερνοεπιθέσεων και η σημασία της διατήρησης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων απαιτούν μια καινοτόμο στρατηγική ανθεκτικότητας για την προστασία ζωτικών δεδομένων και συστημάτων — είτε στο άκρο, είτε στον πυρήνα είτε σε πολλά νέφη.

Ο Rob Emsley είναι διευθυντής μάρκετινγκ προϊόντων για την προστασία δεδομένων στην Dell Technologies.