40% от компаниите казват, че данните, които преместват в облака, са чувствителни по природа, а немалък процент са преживели срив (снимка: CC0 Public Domain)
45% от компаниите не успяват да криптират външни данни, докато се движат от точка до точка в облачната инфраструктура, сочат проучвания. Това устойчива практика ли е, питат риторично специалистите по сигурност?
През 2023 г. 76% от компаниите са използвали активно множество облаци и са били ангажирани с предавания на данни от облак към облак и от облак към локални ресурси (при самата компания). Освен това 74% от компаниите са заявили, че или са внедрили, или са преминали към хибридна ИТ архитектура, която включва както облачни, така и локални ресурси.
През същия период от време 40% от компаниите казват, че данните, които преместват в облака, са чувствителни по природа, а 39% признават, че са преживели пробив в сигурността на облака, който е засегнал техните данни. Въпреки това само 45% са криптирали данните, които изпращат към и от облака, според проучване, на което се позовава Information Week.
На пръв поглед несъответствието между преместването на по-чувствителни данни в облака и осигуряването на безопасен транзит на данните от точка до точка би изглеждало като тема за анализаторите по сигурността и управлението в компаниите. Но когато се случат лоши неща като пробиви в сигурността, компаниите неизбежно търсят помощ в своите мрежови групи, за да се справят с тях.
Нежеланото криптиране на данни
Криптирането на данни във всяко приложение – дори на статични ресурси като вътрешни сървъри или облачно хранилище – е трудно да се продаде. На първо място е цената. През последните няколко години външни одитори, ИТ мениджъри, групи за сигурност и мрежи настояват за по-агресивен софтуер, хардуер и услуги за сигурност. Те представиха искания за бюджет за периферна и мобилна сигурност, затягане на сигурността и управлението в облака, по-чести проверки за уязвимост на мрежата, одити и инструменти.
Всички тези искания набъбнаха частта на сигурността в ИТ бюджетите, така че когато става дума за още повече мерки за сигурност като криптиране на данни, първоначалната тенденция на ръководството е или да отложи, или да игнорира заявката, смятайки, че мерките за сигурност, в които компанията вече е инвестирала, са адекватни.
За мрежовите професионалисти също не е лесно да обяснят на ръководството какво е криптиране на данни и защо е важно. Първо, няма един метод за криптиране на данни. Трябва да изберете този, който е подходящ за вас.
Има симетрично криптиране на данни, при което механизмите за изпращане и получаване на данните са еднакви; и асиметрично криптиране (известно също като PKI или инфраструктура с публичен ключ), което обикновено се използва от финансови институции и компании за кредитни карти и което присвоява уникален нов ключ на всеки отделен потребител или дестинация, за да отключи данните.
След това има набор от различни алгоритми за криптиране, които варират от по-стари DES (стандарт за криптиране на данни) и 3DES (стандарт за тройно криптиране на данни) до AES (стандарт за усъвършенствано криптиране) и няколко други (напр. Blowfish, Twofish, Threefish и др.).
Наистина ли имате нужда от криптиране на външния транспорт на данните?
Подобно на висшето ръководство, има мрежови анализатори и ИТ лидери, които се съпротивляват на криптирането на данни. Те гледат на криптирането като на излишък – в технологията и в бюджета.
Второ, те може да нямат много опит от първа ръка с криптирането на данни. Шифроването използва аритметични алгоритми на черна кутия, които малко ИТ специалисти разбират или се интересуват от тях.
След това, ако решите да използвате криптиране, трябва да направите правилния избор измежду много различни видове опции за криптиране. В някои случаи индустриална наредба може да диктува избора на криптиране, което опростява избора. Това всъщност може да бъде от полза за бюджета, защото не е нужно да се борите за нови бюджетни разходи, когато движещият фактор е съответствието с нормативните изисквания.
Но дори и да нямате регулаторно изискване за криптиране на данните при пренос, рисковете за сигурността нарастват, ако работите без него. Некриптираните данни могат да бъдат прихванати от злонамерени участници за целите на кражба на самоличност, кражба на интелектуална собственост, подправяне на данни и рансъмуер.
Колкото повече компании преминават към хибридна изчислителна среда, която работи на място и в множество облаци, толкова по-голям е рискът, тъй като повече данни, които са потенциално незащитени, се преместват от точка до точка през тази разширена външна мрежа.
Намиране на „сладкото място” за криптиране в мрежата
Като се имат предвид днешните рискове за сигурността, криптирането на данни, които се предават във външни мрежи, вече не трябва да е по избор. Въпросите са: какви видове криптиране на данни са най-добри за вашето предприятие и докъде трябва да стигнете?
Ако сте в силно регулирана индустрия като финансовата, изборът вече е направен. Трябва да използвате PKI криптиране. Извън силно регулираните индустрии също са взети известен брой решения за криптиране. По-старите техники за криптиране на DES и 3DES се премахват, защото сега е станало твърде лесно за хакерите да ги пробият. Те са заменени от AES криптиране, което ви позволява както да дефинирате ключове за криптиране, така и да посочите тяхната дължина.
Ако изберете AES, следващата стъпка е да определите дали имате нужда от криптиране на цялата мрежа или само на част от вашите мрежови пътища. Има ли пътища за некритични данни, които могат да продължат да работят без криптиране или не? И ако бюджетът ви ограничава сумата, която можете да инвестирате, какви са “задължителните” пътища за данни между облаците и локалните данни, които изискват криптиране?
Избягване на капаните
Ако добавите криптиране на данни, основна грижа за мрежовите анализатори ще бъде какво е въздействието на технологията върху производителността на мрежата. Допълнителна стъпка като криптиране и декриптиране на данни ще добави латентност и натоварване на мрежата. Ако отидете на среща за бюджета с молба за криптиране на данни, заявката вероятно ще бъде придружена и с искания за добавяне на още мрежово оборудване.
Съществува и елемент на управление на промяната. Днешните пътища за данни, които не са критични, може да станат критични пътища за данни в бъдеще. В този момент ще трябва да добавите криптиране на данни.
Заключение
За компаниите извън силно регулираните индустрии криптирането на данни до голяма степен е било последваща мисъл както на изпълнително ниво, така и на ниво управление на мрежата. Това е малко вероятно да остане така, тъй като все повече компании преминават към мулти-облачна ИТ архитектура, пълна с много външни канали за данни и мрежи.
Като защита на този външен транзит на данни от злонамерени нарушители и прехващачи, криптирането на данни ще стане по-висок корпоративен приоритет и компаниите ще очакват техните мрежови групи да предоставят визията и изпълнението. Ето защо сега е времето да започнете да разработвате стратегически и тактически планове за защита на вашите външни данни, докато се движат от точка към точка.