big data blog

Big Data: Sikre adgang og tage ansvar

Big Data har været en kritisk trend inden for IT i løbet af det sidste årti, og efterhånden som mere data konsekvent skabes, er spørgsmålet for virksomheder, hvor det opbevares, hvem der har adgang til det, og hvordan de får adgang til det. Dan Raywood ser nærmere på disse spørgsmål.

I løbet af det seneste årti er begrebet Big Data blevet mere udbredt, efterhånden som der skabes mere data, og der kræves teknologier til at analysere og behandle dem.

For at bestemme udfordringerne er det først vigtigt at forstå, hvor Big Data kommer fra. Ifølge en hvidbog fra 2001 af Doug Laney, Big Data er skabt af: Volumen, idet den består af enorme mængder data; Hastighed, som den skabes i realtid; og Variety, da der er strukturerede, semistrukturerede og ustrukturerede typer.

En blog af SAS pegede yderligere på volumenstigningen af ​​organisationer, der indsamler data fra forskellige kilder, herunder transaktioner, smarte (IoT) enheder, industrielt udstyr, videoer, billeder, lyd, sociale medier og mere. Mængden af ​​data skabt af disse kilder har også øget hastigheden, da "data strømmer ind i virksomheder med en hidtil uset hastighed og skal håndteres rettidigt."

SAS pegede også på yderligere to elementer: Variabilitet, da datastrømme er uforudsigelige, og virksomheder skal håndtere daglige, sæsonbestemte og hændelsesudløste spidsbelastninger af data; og Veracity, der henviser til datakvalitet. "Fordi data kommer fra så mange forskellige kilder, er det svært at linke, matche, rense og transformere data på tværs af systemer."

Derfor består Big Data af en lang række instanser, og det har skabt disse 'datasøer', som viser sig at være svære at håndtere.

Tidligere i år deltog jeg i en konference i London, hvor en af ​​talerne, Tim Ayling, VP EMEA datasikkerhedsspecialister hos Imperva, talte om udfordringerne ved Big Data og hævdede, at vi "ikke bruger nok tid på at se på data på grund af ren og skær kompleksitet” og spurgte publikum, om de kunne identificere, hvor deres data er, hvem der har adgang til dem, og hvordan de får adgang til dem. 

I en samtale med ISMS efter arrangementet spurgte vi ham, hvorfor han synes, at styring og kontrol af adgang er en stor udfordring for virksomheder. Han hævder, at mængden af ​​data er blandt årsagerne til problemet. Der er "en gryning for folk, at data nu er overalt, og der er så meget af det og noget af det, vi kender til, noget af det er skyggedata, som kunne være hvor som helst, og det er bare blevet skabt uden nogen proces bag sig." Dette har forårsaget det store udvalg af data, virksomheder nu skal håndtere.

Han hævder, at før Big Data blev normen, var data ofte i Oracle- eller SQL-databaser, men nu er det struktureret og ustruktureret og i databaser, som virksomhederne ikke engang kender til. 

På adgangssiden handler udfordringen om, at flere interessenter har adgang, og det er her kontrollen tabes. Ayling er enig og siger, at mennesker ønsker at gøre tingene så lette som muligt for sig selv, og på trods af virksomhedens politik vil medarbejderne stadig bruge forbrugerværktøjer til at overføre filer for effektivitet.

Rowenna Fielding, direktør for Miss IG Geek Ltd, siger, at adgang til 'Big Data' ikke adskiller sig fra adgangskontrol for ethvert andet informationsaktiv - det bør være på et behov for at vide og mindst-privilegium.

"Udfordringen med mode for 'datasøer' er, at formål ofte er spekulative, dvs. 'kør det hele gennem en algoritme og se, om der dukker noget brugbart op', hvilket gør det svært at verificere og begrænse adgangen efter formål," siger hun .

"Ideelt set bør en 'Big Data'-organisation have et team af etikbevidste og lovkyndige dataanalytikere, som kan arbejde med interessenter for at omdanne forespørgsler til dataforespørgsler (og være i stand til at rådgive om begrænsninger eller skævheder inden for sættet) snarere end giver direkte adgang, men udbredelsen af ​​cloud-platforme er designet til at gøre datamining let og tilgængeligt, [og dette] afholder organisationer fra at indføre – eller endda overveje – at indføre restriktive kontroller."

En mulighed for administreret adgang kunne være en rollebaseret politik. Spektral siger, at dette kan hjælpe med at kontrollere adgangen over de mange lag af Big Data-pipelines. "Princippet om mindste privilegier er et godt referencepunkt for adgangskontrol ved kun at begrænse adgangen til de værktøjer og data, der er strengt nødvendige for at udføre en brugers opgaver."

Er begrebet mindste privilegium, eller endda Zero Trust, og behov-to-know-adgang muligt? Ayling siger, at det åbenlyse svar er 'ja', fordi det betyder, at alle har de rigtige privilegier, "men at drømme om det og gøre det er meget forskellige ting." 

Den gennemsnitlige bruger får adgang til filer og applikationer, men hvor ofte ringer de til helpdesk eller en administrator og fortæller dem, at de ikke længere har brug for adgang til det? Ayling siger: "Vi har alle været steder, hvor du har brug for et niveau af adgang til noget til en bestemt opgave, og det nemmeste er at give dig global adgang, og du er med, og du fik bogstaveligt talt alt, fordi det er nem ting at gøre. Det er slet ikke usædvanligt.”

Med hensyn til at kontrollere adgangen til Big Data siger Fielding, at det er "en fejltagelse at være for præskriptiv med hensyn til kontrolmetoder og -mekanismer, fordi der ikke er et entydigt svar."

Hun siger, at de samme principper om fortrolighed, integritet og tilgængelighed gælder lige så meget for store, uformelt strukturerede data, som de gør for regneark eller e-mails eller bærbare computere; men processen med at finde ud af, hvem der har brug for hvad, hvornår og hvor bliver mere kompliceret.

Adgangsstyring er mere end blot at vide, hvem der har adgang og sikre, at angriberne ikke kommer ind på dit netværk. Det handler om at begrænse adgangen til data og sikre, at medarbejderne kun kan se oplysninger, der er relevante for deres arbejde. Dette er en kritisk faktor i ISO 27001 Annex A.9, og efterhånden som Big Data er blevet mere tydelig i, hvordan verden fungerer, skal begrænsning af adgangen til dem også overvejes og bør være en del af din risikostrategi. 

Big Data er en årtusindtrend inden for overordnet IT, og vi i cybersikkerhed har fokuseret på at analysere det, gemme det og få adgang til det. Det sidste punkt er det mest kritiske for data- og informationssikkerhed: adgangskontrol skal sættes på Big Data så tidligt som muligt, da volumen, hastigheden og variationen konstant øges, og du ikke ønsker at være for sent til at handle . 

Forfatter

Dan Raywood

Dan Raywood har skrevet om IT-sikkerhed siden 2008 og er tidligere analytiker i Information Security Practice hos 451 Research. Han har talt ved shows, herunder 44CON, SecuriTay, SteelCon, Irisscon og Infosecurity Europe, ligesom han har skrevet for en række leverandørblogs og præsenteret på webcasts.

Se alle indlæg af Dan Raywood

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!