10 millors pràctiques per obtenir dades de gran quantitat

Tots els negocis volen recollir troballes d’intel·ligència empresarial (BI), tantes dades com executius, comercialitzadors i tots els altres departaments de l’organització hi puguin posar-hi les mans. Però, un cop obtingudes aquestes dades, la dificultat no només consisteix en analitzar el massiu llac de dades per trobar els coneixements claus per a què busqueu (sense ser inundat pel gran volum d’informació), sinó també garantir totes aquestes dades..

Així, mentre el vostre departament informàtic empresarial i científics de dades utilitzen algoritmes d’analítica predictiva, visualitzacions de dades i utilitzen un arsenal d’altres tècniques d’anàlisi de dades al Big Data que heu recollit, el vostre negoci s’ha d’assegurar que no hi hagi fuites ni punts febles. al pantà.

Amb aquesta finalitat, Cloud Security Alliance (CSA) ha llançat recentment el manual de seguretat i privadesa de les grans dades: 100 millors pràctiques en seguretat i privadesa de grans dades. La llarga llista de bones pràctiques està distribuïda en 10 categories, de manera que vam recollir les millors pràctiques fins a 10 consells per ajudar el vostre departament informàtic a bloquejar les vostres dades empresarials. Aquests consells utilitzen un arsenal d’emmagatzematge de dades, encriptació, governança, supervisió i tècniques de seguretat.

1. Salvaguardar els marcs de programació distribuïts

Els marcs de programació distribuïts, com ara Hadoop, constitueixen una part important de les distribucions Big Data modernes, però presenten un greu risc de fuites de dades. També s’inclouen amb els anomenats “mappers no fiables” o dades de múltiples fonts que poden produir resultats agregats per error.

El CSA recomana que les organitzacions primer estableixin confiança mitjançant mètodes com ara l’autenticació Kerberos, alhora que s’assegura la conformitat a les polítiques de seguretat predefinides. A continuació, "desidentifiqueu" les dades desacoblant tota la informació d'identificació personal (PII) de les dades per garantir que la privadesa personal no sigui compromesa. A partir d’aquí, autoritzeu l’accés als fitxers amb una política de seguretat predefinida i, a continuació, assegureu-vos que el codi no fiable no fuga informació a través dels recursos del sistema mitjançant l’ús del control d’accés obligatori (MAC), com ara l’eina Sentry a Apache HBase. Després d'això, la part dura s'ha acabat, ja que només queda fer una protecció contra les fuites de dades amb un manteniment regular. El departament d’informàtica hauria de revisar els nodes i mapes de treballadors del vostre núvol o entorn virtual i estar atent als nodes falsos i als duplicats de dades alterats.

2. Assegureu les vostres dades no relacionals

Les bases de dades no relacionals com NoSQL són habituals, però són vulnerables a atacs com la injecció de NoSQL; el CSA enumera una sèrie de mesures contraria per protegir-les. Comenceu per xifrar o introduir contrasenyes de contrasenya i assegureu-vos d’assegurar-vos el xifratge de punta a extrem mitjançant xifratge de dades en repòs mitjançant algoritmes com ara estàndard de xifrat avançat (AES), RSA i Secure Hash Algorithm 2 (SHA-256). El xifrat de seguretat de la capa de transport (TLS) i el xifrat de la capa de sockets segurs (SSL) també són útils.

Més enllà d’aquestes mesures bàsiques, més capes com ara l’etiquetatge de dades i la seguretat a nivell d’objectes, també podeu protegir dades no relacionals mitjançant el que s’anomena mòduls d’autenticació connectable (PAM); aquest és un mètode flexible per autentificar els usuaris alhora que us assegureu de registrar les transaccions mitjançant una eina com el registre NIST. Finalment, hi ha el que s'anomenen mètodes de difusió, que exposen scripts entre llocs i que injecten vulnerabilitats entre NoSQL i el protocol HTTP mitjançant l'ús d'entrada automatitzada de dades en el protocol, node de dades i nivells d'aplicació de la distribució.

3. Registres segurs d’emmagatzematge de dades i transaccions

La gestió d’emmagatzematge és una part clau de l’equació de seguretat de Big Data. El CSA recomana fer servir càlculs de missatges signats per proporcionar un identificador digital per a cada fitxer o document digital i fer servir una tècnica anomenada repositori de dades no confiat (SUNDR) per detectar modificacions no autoritzades de fitxers per agents de servidor maliciosos.

El manual enumera també diverses tècniques, incloses la revocació mandrosa i la rotació de claus, esquemes de xifrat basats en polítiques i polítiques i gestió de drets digitals (DRM). No obstant això, no hi ha cap substitut per simplement crear el vostre propi emmagatzematge en núvol segur sobre la infraestructura existent.

4. Filtració i validació d’endpoints

La seguretat d’endpoint és primordial i la vostra organització pot començar utilitzant certificats de confiança, fent proves de recursos i connectant només dispositius de confiança a la vostra xarxa mitjançant una solució de gestió de dispositius mòbils (MDM) (a sobre del programari de protecció antivirus i malware). Des d'allà, podeu utilitzar tècniques de detecció de similituds estadístiques i tècniques de detecció anteriors per filtrar les entrades malicioses, vigilant els atacs de Sybil (és a dir, una entitat que es disfressa com a identitats múltiples) i els atacs de difusió d'identificacions.

5. Seguiment en temps real i seguiment de la seguretat

El compliment sempre és un mal de cap per a les empreses, i més encara quan es tracta d'un diluït constant de dades. El millor és abordar-ho directament amb anàlisis i seguretat en temps real a tots els nivells de la pila. La CSA recomana que les organitzacions apliquin analítiques de Big Data mitjançant eines com Kerberos, shell shell (SSH) i seguretat de protocols d’Internet (IPsec) per obtenir un control de les dades en temps real.

Un cop fet això, podeu minar esdeveniments de registre, desplegar sistemes de seguretat front-end com routers i tallafocs a nivell d’aplicació i començar a implementar controls de seguretat a tota la pila a nivell de núvol, clúster i aplicacions. La CSA també adverteix a les empreses que es preocupin dels atacs d’evasió que intenten eludir la seva infraestructura de Big Data i el que s’anomena atacs “intoxicacions per dades” (és a dir, dades falsificades que enganyen el sistema de control).

6. Preservar la privadesa de les dades

És molt difícil mantenir la privadesa de les dades en conjunts en creixement constant. La CSA va dir que la clau és ser "escalable i composable" mitjançant la implementació de tècniques com la privadesa diferencial, maximitzant la precisió de les consultes alhora que minimitzem la identificació del registre i el xifratge homomòfic per emmagatzemar i processar informació xifrada al núvol. Més enllà d’això, no us oblideu en els productes bàsics: la CSA recomana incorporar una formació de sensibilització dels empleats que es focalitzi en les normatives de privadesa vigents i mantenir la infraestructura de programari mitjançant mecanismes d’autorització. Finalment, les bones pràctiques fomenten la implementació del que s’anomena “composició de dades de conservació de la privacitat”, que controla les fuites de dades de diverses bases de dades mitjançant la revisió i el seguiment de la infraestructura que enllaça les bases de dades.

7. Criptografia Big Data

La criptografia matemàtica no ha passat de moda; de fet, ha estat molt més avançat. Construint un sistema per cercar i filtrar dades xifrades, com el protocol de xifratge simètric (SSE) cercable, les empreses poden executar consultes booleanes en dades xifrades. Després d'instal·lar-ho, el CSA recomana diverses tècniques criptogràfiques.

El xifrat relacional permet comparar dades xifrades sense compartir claus de xifrat coincidint amb identificadors i valors d'atributs. El xifrat basat en identitats (IBE) facilita la gestió de claus en sistemes de claus públics, permetent xifrar el text complet per a una identitat determinada. El xifrat basat en atributs (ABE) pot integrar els controls d'accés en un esquema de xifrat. Finalment, hi ha un xifrat convergent, que utilitza claus de xifratge per ajudar els proveïdors de núvols a identificar dades duplicades.

8. Control d'accés granular

El control d'accés és de dues coses bàsiques segons el CSA: restringir l'accés als usuaris i concedir l'accés als usuaris. El truc és crear i implementar una política que triï la més adequada en qualsevol escenari. Per configurar els controls d’accés granular, CSA ofereix diversos consells d’èxit ràpid:

Normalitzar els elements mutables i desnormalitzar els elements immutables,

Feu un seguiment dels requisits de secret i garanteix una implementació adequada,

Manteniu les etiquetes d'accés,

Feu el seguiment de les dades d'administrador,

Utilitzeu l’inici de sessió únic (SSO) i

Utilitzeu un esquema d’etiquetatge per mantenir una federació de dades adequada.

9. Auditoria, Auditoria, Auditoria

L’auditoria granular és obligatòria en la seguretat de Big Data, especialment després d’un atac al vostre sistema. El CSA recomana que les organitzacions crein una visió d’auditoria cohesionada després de qualsevol atac i assegureu-vos de proporcionar un rastre d’auditoria complet alhora que s’assegura que hi ha un accés fàcil a aquestes dades per tal de reduir el temps de resposta a incidents.

La integritat de la informació de l'auditoria i la confidencialitat també són essencials. La informació d’auditoria s’ha d’emmagatzemar per separat i protegir-se amb controls d’accés dels usuaris granulars i un control regular. Assegureu-vos de mantenir les vostres dades Big Audit i les dades d'auditoria separades i activeu tots els registres necessaris quan configureu l'auditoria (per recollir i processar la informació més detallada possible). Una capa d’auditoria de codi obert o una eina d’orquestrador de consultes com ElasticSearch poden facilitar-ho.

10. Procedència de dades

La procedència de les dades pot significar diverses coses en funció de qui demani. Però, al que es refereix CSA, són els metadats de provenència generats per les aplicacions Big Data. Es tracta d’una altra categoria de dades que necessita una protecció important. El CSA recomana primer desenvolupar un protocol d’autenticació d’infraestructura que controli l’accés, al mateix temps que estableixi actualitzacions periòdiques d’estat i verifiqui contínuament la integritat de les dades mitjançant mecanismes com els bons.

A més, la resta de bones pràctiques de CSA per a la procedència de dades es fan ressò de la resta de la nostra llista: implementar controls d'accés granular dinàmics i escalables i implementar mètodes de xifrat. No hi ha cap truc secret per garantir la seguretat de les dades grans a tota l'organització i a tots els nivells de la vostra infraestructura i l'aplicació d'aplicacions. Quan es tracta de lots per dades, només un esquema de seguretat de les TI exhaustivament exhaustiu i la compra d’usuaris a tota l’empresa proporcionaran a l’organització la millor oportunitat de mantenir els 0 i 1 últims segurs i segurs.