Hur ska verksamheter skydda sin data och minimera attackytan

[KRÖNIKA] 2017 var inte ett lätt år att vara IT-chef eller IT-säkerhetsansvarig, och 2018 visar inte några tecken på att vara enklare eller blir lättare.

Fredrik Arveskär, chef för Infinidat i Norden & Benelux

Med så många förödande säkerhetsöverträdelser under 2017 (ex vis Equifax, Uber och Yahoo) och med de strängare lagstiftningskraven världen över så har dagens IT-chefer ett betydande företagsansvar och är därmed tvungna att ompröva deras inställning till datasäkerhet.

Enligt nuvarande överensstämmelse och lagstiftning så har företagen ett stort ansvar gentemot sina kunder och aktieägare med att skydda data, samt minimera exponeringen av densamma. Och då inte bara för utomstående angripare, men också för sina egna anställda. Den vanligaste intrångsmetoden ”phishing” (se 2017 Data Breach Investigation Report) gör att anställda ofrivilligt medverkar till att påverka dataskyddet och bistå angriparna. Över 80 procent av de mest framgångsrika cyberattackerna var möjliga på grund av den mänskliga faktorn i form av oförstående medarbetare som öppnar tillsynes oskyldiga, men farliga mail eller klickar på en skadlig länk, och därmed oavsiktligt äventyrar företagets data.

Det finns dock inte något 100-procentigt skydd men man kommer relativt långt med medvetenhet och sunt förnuft för att delvis minska attackytan och skydda information hos de allra flesta verksamheter. Ett företag som behandlar sin data som en tillgång och som en helig del av sin affärsverksamhet, samt förstår hur känslig denna data är för sina kunder är på rätt väg. Men hur ska dessa bolag minimera attackytan och varför kan All flash-baserade storage-miljöer vara en utmaning? Här kommer några praktiska verktyg och tips att ta i beaktning.

Distribution / Prestanda
Med undantag för självkrypterande enheter (SED) kräver prestanda viss CPU-effekt. En IT-miljö har alltid fler servrar än lagringsplattformar. Att flytta uppgiften för datakryptering en nivå upp i sin IT-miljö innebär att du får en större fördelning av arbetsbelastningen.

Granularitet
Ju högre upp i miljön vi krypterar data desto högre blir vår granularitet: En applikation kan endast kryptera sin egen information eftersom den ”förstår” sammanhanget och betydelsen av sin egen data. Detta kommer även att leda till lägre kostnader. Om vi går en nivå lägre – kan databasadministratören (DBA) tillhandahålla ett krypterat tabell-utrymme och ett icke-krypterat tabellutrymme och därmed sätta rätt data på rätt plats. Även om detta är mindre granulärt är det fortfarande bättre än att kryptera en hel VM eller LUN.

Beredskap
Att flytta krypteringen längre upp i sin miljö är en viktig förutsättning för en eventuell moln-migrering där data behöver behålla samma skyddsnivå och vara skyddad över nätverket (WAN). Data som redan är krypterad vid källan (lokalt) kräver färre extra säkerhetsåtgärder vid migrering till molnet, vilket möjliggör ett förenklande vid användandet av en hybrid molnstrategi och en multi-cloud-strategi. Detta eftersom applikationen inte blir bunden till specifika molnleverantörers kryptering.

Enkel integrering
Integrering av kryptering på OS / DB / hypervisor nivåer har en fördel – det finns mycket få varianter av varje, medan det finns många applikationer i miljön. Ur ett operativt perspektiv kan detta minska komplexiteten.

ATT GÖRA
• Planera organisationens holistiska dataskyddspolicy
• Ange en deadline från dag ett för nya applikationer som ska utformas med kryptering
• Utbilda in-house applikationsutvecklare i säkerhet-by-design-metoder
• Granska befintliga applikationer som letar efter rätt sätt för din organisation att skydda data mot attacker
• Bygg en övergångsplan för att kryptera äldre program med privata eller känsliga data

Fredrik Arveskär, chef för Infinidat i Norden & Benelux.