Big Data: Zugang sichern und Verantwortung übernehmen
Big Data war im letzten Jahrzehnt ein entscheidender Trend in der IT, und da immer mehr Daten erzeugt werden, stellt sich für Unternehmen die Frage, wo sie gespeichert werden, wer Zugriff darauf hat und wie sie darauf zugreifen. Dan Raywood geht diesen Fragen nach.
Im letzten Jahrzehnt hat das Konzept von Big Data an Bedeutung gewonnen, da immer mehr Daten erzeugt werden und Technologien zu deren Analyse und Verarbeitung erforderlich sind.
Um die Herausforderungen zu ermitteln, ist es zunächst wichtig zu verstehen, woher Big Data kommt. Laut einem Whitepaper von 2001 Doug Laney, Big Data entsteht durch: Volumen, da es aus enormen Datenmengen besteht; Geschwindigkeit, wie sie in Echtzeit erzeugt wird; und Vielfalt, da es strukturierte, halbstrukturierte und unstrukturierte Typen gibt.
Ein Blog von SAS verwies außerdem auf die Volumenzunahme durch Organisationen, die Daten aus verschiedenen Quellen sammeln, darunter Transaktionen, intelligente (IoT) Geräte, Industrieanlagen, Videos, Bilder, Audio, soziale Medien und mehr. Außerdem hat die von diesen Quellen erzeugte Datenmenge die Geschwindigkeit erhöht, da „Daten mit beispielloser Geschwindigkeit in Unternehmen gelangen und zeitnah verarbeitet werden müssen“.
SAS wies außerdem auf zwei weitere Elemente hin: Variabilität, da Datenflüsse unvorhersehbar sind und Unternehmen tägliche, saisonale und ereignisbedingte Spitzendatenlasten bewältigen müssen; und Veracity, bezogen auf die Datenqualität. „Da Daten aus so vielen verschiedenen Quellen stammen, ist es schwierig, Daten systemübergreifend zu verknüpfen, abzugleichen, zu bereinigen und zu transformieren.“
Daher besteht Big Data aus einer großen Anzahl von Instanzen, wodurch diese „Datenseen“ entstanden sind, die sich als schwer zu verwalten erweisen.
Anfang dieses Jahres nahm ich an einer Konferenz in London teil, bei der einer der Redner, Tim Ayling, VP EMEA-Datensicherheitsspezialist bei Imperva, über die Herausforderungen von Big Data sprach und behauptete, wir „verbringen aus reinen Datengründen nicht genug Zeit mit der Betrachtung von Daten.“ Komplexität“ und fragte die Zuhörer, ob sie erkennen könnten, wo sich ihre Daten befinden, wer Zugriff darauf hat und wie sie darauf zugreifen.
In einem Gespräch mit ISMS im Anschluss an die Veranstaltung fragten wir ihn, warum die Verwaltung und Kontrolle des Zugriffs seiner Meinung nach eine große Herausforderung für Unternehmen darstellt. Er behauptet, dass die Datenmenge einer der Gründe für das Problem sei. Es dämmert den Menschen, dass Daten jetzt überall sind, und es gibt so viele davon und einige davon wissen wir, einige davon sind Schattendaten, die überall sein könnten, und sie wurden einfach erstellt, ohne dass ein Prozess dahinter steckt.“ Dies hat dazu geführt, dass Unternehmen heute mit einer großen Vielfalt an Daten umgehen müssen.
Er behauptet, dass sich Daten, bevor Big Data zur Norm wurde, oft in Oracle- oder SQL-Datenbanken befanden, aber jetzt seien sie strukturiert und unstrukturiert und in Datenbanken, von denen Unternehmen nicht einmal etwas wüssten.
Auf der Zugriffsseite besteht die Herausforderung darin, dass mehrere Interessengruppen Zugriff haben, und hier geht die Kontrolle verloren. Ayling stimmt dem zu und sagt, dass die Menschen es sich selbst so einfach wie möglich machen wollen und dass die Mitarbeiter trotz der Unternehmensrichtlinien weiterhin Verbrauchertools verwenden, um Dateien aus Effizienzgründen zu übertragen.
Rowenna Fielding, Direktorin von Miss IG Geek Ltd, sagt, dass sich der Zugriff auf „Big Data“ nicht von Zugriffskontrollen für andere Informationsressourcen unterscheidet – er sollte auf der Grundlage des „Need-to-know“-Prinzips und der geringsten Rechte erfolgen.
„Die Herausforderung bei der Mode für ‚Data Lakes‘ besteht darin, dass Zwecke oft spekulativ sind, also ‚alles durch einen Algorithmus laufen lassen und sehen, ob etwas Nützliches auftaucht‘, was es schwierig macht, den Zugriff nach Zweck zu überprüfen und einzuschränken“, sagt sie .
„Idealerweise sollte eine ‚Big Data‘-Organisation über ein Team ethisch-bewusster und gesetzeskundiger Datenanalysten verfügen, die mit Stakeholdern zusammenarbeiten können, um Anfragen in Datenabfragen umzuwandeln (und in der Lage sind, über Einschränkungen oder Vorurteile innerhalb der Gruppe zu beraten), anstatt.“ Durch die Gewährung von direktem Zugriff soll die Verbreitung von Cloud-Plattformen das Data-Mining jedoch einfach und zugänglich machen, [und dies] hält Unternehmen davon ab, restriktive Kontrollen einzuführen – oder auch nur in Erwägung zu ziehen.“
Eine Option für den verwalteten Zugriff könnte eine rollenbasierte Richtlinie sein. Spectral sagt, dass dies dabei helfen kann, den Zugriff auf die vielen Schichten von Big-Data-Pipelines zu kontrollieren. „Das Prinzip der geringsten Rechte ist ein guter Bezugspunkt für die Zugriffskontrolle, indem es den Zugriff nur auf die Tools und Daten beschränkt, die für die Ausführung der Aufgaben eines Benutzers unbedingt erforderlich sind.“
Ist das Konzept der geringsten Privilegien oder sogar von Zero Trust und des Need-to-know-Zugriffs möglich? Ayling sagt, die offensichtliche Antwort sei „Ja“, denn das bedeute, dass jeder die richtigen Privilegien habe, „aber davon zu träumen und es zu tun, sind sehr unterschiedliche Dinge.“
Dem durchschnittlichen Benutzer wird Zugriff auf Dateien und Anwendungen gewährt, aber wie oft ruft er den Helpdesk oder einen Administrator an und teilt ihm mit, dass er keinen Zugriff mehr darauf benötigt? Ayling sagt: „Wir waren alle schon einmal an Orten, an denen man für eine bestimmte Aufgabe eine bestimmte Zugriffsebene für etwas benötigte, und am einfachsten ist es, einem globalen Zugriff zu gewähren, und schon ist man dabei und hat buchstäblich alles, weil das der Fall ist.“ einfach zu machen. Das ist überhaupt nicht ungewöhnlich.“
In Bezug auf die Kontrolle des Zugriffs auf Big Data sagt Fielding, es sei „ein Fehler, bei Kontrollmethoden und -mechanismen zu viele Vorgaben zu machen, weil es keine allgemeingültige Antwort gibt.“
Sie sagt, dass die gleichen Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit für große, informell strukturierte Daten genauso gelten wie für Tabellenkalkulationen, E-Mails oder Laptops; Der Prozess, herauszufinden, wer was, wann und wo braucht, wird jedoch komplizierter.
Bei der Zugriffsverwaltung geht es um mehr als nur darum, zu wissen, wer Zugriff hat, und sicherzustellen, dass die Angreifer nicht in Ihr Netzwerk gelangen. Es geht darum, den Zugriff auf Daten einzuschränken und sicherzustellen, dass Mitarbeiter nur Informationen sehen können, die für ihre Arbeit relevant sind. Dies ist ein entscheidender Faktor von ISO 27001 Anhang A.9, und da Big Data in der Funktionsweise der Welt immer offensichtlicher wird, muss auch die Einschränkung des Zugriffs darauf in Betracht gezogen werden und sollte Teil Ihrer Risikostrategie sein.
Big Data ist ein Jahrtausendtrend der gesamten IT, und wir in der Cybersicherheit haben uns darauf konzentriert, sie zu analysieren, zu speichern und darauf zuzugreifen. Dieser letzte Punkt ist der wichtigste für die Daten- und Informationssicherheit: Zugriffskontrollen für Big Data müssen zum frühestmöglichen Zeitpunkt eingeführt werden, da das Volumen, die Geschwindigkeit und die Vielfalt ständig zunehmen und Sie nicht zu spät sein möchten, um Maßnahmen zu ergreifen .