數據安全三部曲:存儲、傳輸與使用
數據必須受到保護,因為它們存在于流程生命周期中的各個環節。
數據通常是一個組織機構非常有價值的資產,這一特性使其成為了各種類型敵人(包括犯罪分子和民族國家)的首要目標。幾乎每周都會有新的數據泄漏事件發生,持續提醒我們數據安全的重要性。
僅在2018年上半年,就有944起數據泄露事件導致了33億條數據記錄遭到泄露。但是真正的數據安全是什么樣的呢?許多解決方案都宣傳“端到端保護”的必要性以及他們有能力提供這種保護,但當我們越過這些流行術語,我們是否清楚地知道保護數據意味著什么?
隨著攻擊途徑不斷增加,攻擊者變得越來越縝密,信息安全的方方面面都變得非常重要——從安全的數據存儲、傳輸和處理到訪問控制和有效的密鑰管理。如果有一個環節容易受到攻擊,則會破壞其他安全措施的有效性。
這種來自多方面的風險需要一種全面的、以數據為中心的安全保護方法,這種方法應該在其生命周期的所有環節關注保護數據本身,而不是只關注其周圍的網絡、應用程序或服務器。組織機構必須遵循如下原則始終確保數據安全:
- 在文件系統,數據庫上或通過存儲技術保護靜態數據;
- 當數據在網絡中移動時,保護傳輸中的數據;
- 在使用或處理數據時,保護正在使用的數據;
同時這些元素共同構成了數據安全三要素,代表了確保數據在整個生命周期內安全性所需的三重保護。
這種保護策略的核心是加密。加密能使數據對攻擊者變得沒有用處,無法讀取,從而帶走了數據的價值。因此加密能夠減少攻擊者可以竊取的資產的價值,使被目標變得沒有吸引力。
經驗告訴我們,如果存在有價值的數據正處于危險之中,攻擊者會通過某種方法找到并接觸它們——我們不能只緊鎖大門;每一個入口都需要保護。因此,僅將加密局限在數據安全三要素中的一部分,是一種危險的行為。保護靜止、傳輸和使用中的數據是至關重要的。
靜態數據
以任何數字形式存儲的非活動數據,靜態數據可能位于硬盤驅動器或數據庫、數據湖、云存儲或無數其他位置。在通常被認為是最安全的數據狀態下,我們通常會將基于邊界的技術和解決方案視為非常重要的一道防線,并根據數據本身的用途和敏感性添加額外防線。這些額外防線包括加密敏感數據,無論數據存儲在本地還是存儲在云中。由于數據存儲的聚合性,靜態數據對于想要竊取大量有價值數據的攻擊者來說是一個很有吸引力的目標。
傳輸中的數據
傳輸中的數據很容易受到攻擊,無論是通過專用網絡、本地設備,還是公共/不可信空間。人們普遍認為,加密傳輸中的數據是標準做法——這通常是安全團隊保護數據資產時先關注的環節之一。這是必須的——而且只要企業遵守正確的協議,傳輸加密就是一種有效的防線。
使用中的數據
如果前面描述的兩種數據狀態可以簡單地標記為最容易理解和最容易解決的,那么使用中的數據應該被貼上最容易被忽略的標簽。因此,它很快就成為攻擊者最容易突破的地方。
本質上,數據使用領域的挑戰與缺乏對問題本身的認識有關。這部分被忽略的原因是,安全領域的一些人錯誤地認為,保護靜態數據和傳輸中的數據就可以了。
然而,隨著攻擊者越來越老練,再加上對計算機芯片處理機制普遍存在的缺陷的驚人披露,所有規模的企業都需要意識到保護正在使用的數據的重要性。當我們使用數據來提取有價值信息時,數據是最有價值的,這可以通過執行搜索或分析來實現。除了訪問控制和用戶身份驗證,這類在任何安全計劃中都重要的部分之外,還有各種商業上可用的解決方案和技術方法可于抵御此漏洞,包括同態加密、安全多方計算。
我們都知道攻擊者正在成長,而我們的安全工作也必須跟上。保護方案必須識別和保護數據,因為數據存在于流程生命周期中的各個環節,無論是靜態的、傳輸中還是在使用中。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
