וִידֵאוֹ: 10.ª Conferência do Banco de Portugal "Desenvolvimento económico português no espaço europeu" (נוֹבֶמבֶּר 2024)
כל עסק רוצה לאסוף קופות של בינה עסקית (BI), נתונים רבים ככל שמנהלים, משווקים וכל מחלקה אחרת בארגון יכולים לשים את ידיהם. אבל ברגע שיש לך את הנתונים האלה, הקושי טמון לא רק בניתוח אגם הנתונים המאסיבי כדי למצוא את התובנות העיקריות שאליהן אתה מחפש (מבלי להיות מוצפע מכמות המידע העצומה) אלא גם לאבטח את כל הנתונים האלה..
לכן, בעוד מחלקת ה- IT הארגונית ומדעני הנתונים מריצים אלגוריתמים אנליטיים חזויים, הדמיות נתונים ומפעילים ארסנל של טכניקות אחרות לניתוח נתונים ב- Big Data שאספת, העסק שלך צריך לוודא שלא יהיו דליפות או נקודות חולשה. במאגר.
לשם כך, ה- Cloud Security Alliance (CSA) הוציא לאחרונה את ספר האבטחה והפרטיות של Big Data: 100 שיטות עבודה מומלצות בתחום אבטחת הפרטיות של Big Data. הרשימה הארוכה של שיטות העבודה המומלצות נפרשת על פני 10 קטגוריות, ולכן העברנו את השיטות המומלצות עד 10 טיפים שיעזרו למחלקת ה- IT שלך לנעול את נתוני העסק העיקריים שלך. טיפים אלו מעסיקים ארסנל של טכניקות אחסון נתונים, הצפנה, ממשל, פיקוח ואבטחה.
1. שמור על מסגרות תכנות מבוזרות
מסגרות תכנות מבוזרות כמו Hadoop מהוות חלק עצום מההפצות המודרניות של Big Data, אך הן מגיעות עם סיכון רציני לדליפת נתונים. הם גם מגיעים עם מה שמכונה "מיפויים לא מהימנים" או נתונים ממקורות רבים העשויים לייצר תוצאות מצטברות שגיאות.
CSA ממליץ לארגונים ליצור אמון תחילה באמצעות שיטות כמו אימות Kerberos תוך הקפדה על התאמה למדיניות אבטחה מוגדרת מראש. לאחר מכן, אתה "מזהה" את הנתונים על ידי ניתוק כל המידע המאפשר זיהוי אישי (PII) מהנתונים כדי להבטיח שלא נפגע הפרטיות האישית. משם אתה מאשר גישה לקבצים עם מדיניות אבטחה מוגדרת מראש ואז אתה מבטיח שקוד לא מהימן לא ידליף מידע באמצעות משאבי מערכת על ידי שימוש בבקרת גישה חובה (MAC) כמו כלי Sentry ב- Apache HBase. לאחר מכן החלק הקשה נגמר, שכן כל שנותר לעשות הוא להגן מפני דליפת נתונים עם תחזוקה שוטפת. על מחלקת ה- IT לבדוק צמתים ומיפויים של עובדים בסביבת הענן או הווירטואלית שלך, ולהקפיד על צמתים מזויפים ושכפול נתונים של נתונים.
2. אבטח את הנתונים הלא קשורים שלך
מאגרי מידע לא קשורים כמו NoSQL נפוצים אך הם פגיעים להתקפות כמו הזרקת NoSQL; CSA מפרט מגוון של אמצעי נגד להגנה מפני זה. התחל על ידי הצפנת סיסמאות או שיבוץ, והקפידו להבטיח הצפנה מקצה לקצה על ידי הצפנת נתונים במנוחה באמצעות אלגוריתמים כמו סטנדרט הצפנה מתקדם (AES), RSA, ואלגוריתם Secure Hash 2 (SHA-256). שימושי גם אבטחת שכבת תעבורה (TLS) והצפנת שכבת שקעים מאובטחים (SSL).
מעבר לאמצעי הליבה הללו, בתוספת שכבות כמו תיוג נתונים ואבטחה ברמת האובייקט, אתה יכול גם לאבטח נתונים לא קשורים באמצעות מה שמכונה מודולי אימות ניתן לחיבור (PAM); זוהי שיטה גמישה לאימות משתמשים תוך הקפדה על רישום עסקאות באמצעות כלי כגון יומן NIST. לבסוף, יש מה שנקרא שיטות תחבולה, החושפות תסריטים בין אתרים ומזריקים פגיעויות בין NoSQL לפרוטוקול HTTP על ידי שימוש בקלט נתונים אוטומטי בפרוטוקול, צומת נתונים ורמות היישום של ההפצה.
3. יומני אחסון וביצוע עסקאות מאובטחים
ניהול אחסון הוא חלק מרכזי במשוואת האבטחה של Big Data. CSA ממליץ להשתמש בעיכול הודעות חתומות כדי לספק מזהה דיגיטלי עבור כל קובץ או מסמך דיגיטלי, ולהשתמש בטכניקה שנקראת מאגר נתונים מאובטח ללא מידע (SUNDR) כדי לאתר שינויים בקבצים לא מורשים על ידי סוכני שרתים זדוניים.
ספר היד מפרט מספר טכניקות אחרות, כולל ביטול עצל וסיבוב מפתחות, שידורי הצפנה מבוססי מדיניות וניהול זכויות דיגיטליות (DRM). עם זאת, אין תחליף פשוט לבנות אחסון ענן מאובטח משלך על גבי התשתית הקיימת.
4. סינון נקודת קצה ואימות
אבטחת נקודת הקצה היא בעלת חשיבות עליונה והארגון שלך יכול להתחיל להשתמש בתעודות מהימנות, לבצע בדיקות משאבים ולחבר רק מכשירים מהימנים לרשת שלך על ידי שימוש בפתרון ניהול התקנים ניידים (MDM) (על גבי תוכנת הגנת אנטי-וירוס ותוכנות זדוניות). משם, אתה יכול להשתמש בטכניקות גילוי דמיון סטטיסטי ובטכניקות גילוי מתארות יותר לסינון תשומות זדוניות, תוך שמירה מפני התקפות של סיביל (כלומר, ישות אחת שמתחזה לזהויות מרובות) והתקפות של זיוף זיהוי.
5. ציות בזמן אמת ומעקב אבטחה
ציות הוא תמיד כאב ראש עבור ארגונים, וביתר שאת כשאתה מתמודד עם מבול נתונים בלתי פוסק. עדיף להתמודד עם זה חזיתית עם ניתוח וביטחון בזמן אמת בכל רמות הערימה. CSA ממליץ לארגונים ליישם ניתוחי Big Data באמצעות כלים כמו Kerberos, shell shell (SSH) ואבטחת פרוטוקול אינטרנט (IPsec) בכדי להשיג מידע על נתונים בזמן אמת.
לאחר שתעשה זאת תוכל לכרות אירועי רישום, לפרוס מערכות אבטחה מקדימות כמו נתבים וחומות אש ברמת היישום ולהתחיל ליישם בקרות אבטחה בכל הערימה ברמות הענן, האשכול ויישומים. CSA גם מזהיר ארגונים להיזהר מהתקפות התחמקות שמנסות לעקוף את תשתית ה- Big Data שלך, ומה שנקרא התקפות "הרעלת נתונים" (כלומר, נתונים מזויפים שמובילים את מערכת הניטור שלך).
6. שמור על פרטיות הנתונים
שמירה על פרטיות נתונים בסטים שהולכים וגדלים זה ממש קשה. על פי ה- CSA, המפתח הוא "ניתן להרחבה וניתנת להרכבה" על ידי הטמעת טכניקות כמו פרטיות דיפרנציאלית - מקסום דיוק השאילתה תוך צמצום זיהוי הרשומות - והצפנה הומומורפית לאחסון ועיבוד מידע מוצפן בענן. מעבר לכך, אל תפספס על סיכות ההידוק: CSA ממליץ לשלב הדרכות מודעות לעובדים המתמקדות בתקנות הפרטיות הנוכחיות, ולהקפיד לשמור על תשתית תוכנה באמצעות מנגנוני הרשאה. לבסוף, שיטות העבודה המומלצות מעודדות יישום מה שנקרא "הרכב שמירה על פרטיות", השולט על דליפת נתונים ממסדי נתונים מרובים על ידי סקירה ופיקוח של התשתית המקשרת בין בסיסי הנתונים.
7. קריפטוגרפיה של ביג דאטה
קריפטוגרפיה מתמטית לא יצאה מהאופנה; למעשה, הוא עבר הרבה יותר מתקדם. על ידי בניית מערכת לחיפוש וסינון נתונים מוצפנים, כגון פרוטוקול הצפנה סימטרית לחיפוש (SSE), ארגונים יכולים למעשה להריץ שאילתות בוליאניות על נתונים מוצפנים. לאחר התקנתו, ה- CSA ממליץ על מגוון טכניקות קריפטוגרפיות.
קידוד יחסי מאפשר לך להשוות נתונים מוצפנים מבלי לשתף מפתחות הצפנה על ידי התאמת מזהים וערכי תכונות. הצפנה מבוססת זהות (IBE) מקלה על ניהול המפתח במערכות המפתח הציבוריות על ידי מתן אפשרות להצפין של פשוט טקסט לזהות נתונה. קידוד מבוסס תכונות (ABE) יכול לשלב בקרות גישה בתכנית הצפנה. לבסוף, יש קידוד ממוזג, המשתמש במפתחות הצפנה כדי לעזור לספקי ענן לזהות נתונים כפולים.
8. בקרת גישה גרגירית
בקרת גישה עוסקת בשני דברים עיקריים על פי CSA: הגבלת גישה למשתמשים ומתן גישה למשתמשים. החוכמה היא לבנות וליישם מדיניות הבוחרת נכון בכל תרחיש נתון. להגדרת בקרות גישה גרגיריות, ל- CSA יש כמה טיפים לפגיעה מהירה:
לנרמל אלמנטים הניתנים להחלפה ולנטרל אלמנטים בלתי ניתנים לשינוי,
עקוב אחר דרישות הסודיות והבטיח יישום נכון,
שמור על תוויות גישה,
עקוב אחר נתוני מנהל מערכת,
השתמש בכניסה יחידה (SSO), ו-
השתמש בתכנית תיוג כדי לשמור על איחוד נתונים תקין.
9. ביקורת, ביקורת, ביקורת
ביקורת Granular היא חובה בביטחון Big Data, במיוחד לאחר התקפה על המערכת שלך. CSA ממליץ לארגונים ליצור תצוגת ביקורת מגובשת בעקבות התקפה כלשהי, ולהקפיד לספק מסלול ביקורת מלא תוך הקפדה על גישה נוחה לנתונים כדי לקצץ את זמן התגובה לאירועים.
שלמות מידע וביקורת סודיות הן גם חיוניות. יש לאחסן את פרטי הביקורת בנפרד ולהגן עליהם באמצעות בקרות גישה מורחבות של משתמשים ובקרה שוטפת. הקפידו להפריד בין נתוני ה- Big Data וביצוע הביקורות שלכם, והפעילו את כל הרישום הנדרש בעת הגדרת ביקורת (על מנת לאסוף ולעבד את המידע הכי מפורט שאפשר). שכבת ביקורת עם קוד פתוח או כלי תזמורת שאילתות כמו ElasticSearch יכולים להקל על כל אלה.
10. מקור נתונים
מקור נתונים יכול להיות מספר דברים שונים בהתאם למי שאתה שואל. אך מה ש- CSA מתייחס אליו הם מטא נתונים המוכרים שנוצרו על ידי יישומי Big Data. זו קטגוריה אחרת לגמרי של נתונים הזקוקים להגנה משמעותית. CSA ממליץ לפתח תחילה פרוטוקול אימות תשתית השולט בגישה, תוך הגדרת עדכוני סטטוס תקופתיים ואימות רציף של נתונים על ידי שימוש במנגנונים כמו בדיקות בדיקה.
נוסף על כך, שאר שיטות העבודה המומלצות של CSA להוכחת נתונים מהדהדות את שאר הרשימה שלנו: הטמיע בקרות גישה דינאמיות וניתנות להרחבה ויישום שיטות הצפנה. אין שום טריק סודי להבטיח את אבטחת ה- Big Data בכל הארגון שלך ובכל רמה של תשתית היישום שלך. כשאתה מתמודד עם קבוצות נתונים רחבות היקף זה, רק מערך אבטחת IT מקיף להפליא ורכישה כללית של משתמשים בארגון, יעניקו לארגון שלך את הסיכוי הטוב ביותר לשמור על כל 0 ו- 1 אחרונים ובטוחים.
