Hoe doorzoekbare encryptie het spel van gegevensbeveiliging verandert

Cyberbeveiliging
Data Security Game

Doorzoekbare encryptie is al lang een mysterie. Een contradictio in terminis. Een onbereikbare droom van cybersecurityprofessionals overal ter wereld.

Organisaties weten dat ze hun meest waardevolle, gevoelige gegevens moeten versleutelen om diefstal en inbreuken op gegevens te voorkomen. Ze begrijpen ook dat organisatiegegevens bestaan ​​om te worden gebruikt. Om te worden doorzocht, bekeken en gewijzigd om bedrijven draaiende te houden. Helaas hebben onze Network and Data Security Engineers tientallen jaren geleerd dat je gegevens gewoon niet kunt doorzoeken of bewerken terwijl je in een versleutelde staat bent.

Het beste wat ze konden doen was die platte tekst, niet-versleutelde data in een cocon van complexe hardware, software, beleid, controles en governance te verpakken. En hoe heeft dat tot nu toe gewerkt? Kijk maar naar de T-Mobile-inbreuk, de United Healthcare-inbreuk, Uber, Verizon, Kaiser Foundation Health Plan, Bank of America, Prudential… en de lijst gaat maar door. Alle data die bij die inbreuken werd gestolen, bleef niet-versleuteld om de dagelijkse werkzaamheden te ondersteunen.

We kunnen gerust concluderen dat de manier waarop we die data beveiligen gewoon niet werkt. Het is van cruciaal belang dat we onze gedachte en aanpak ontwikkelen. Het is tijd om alle data in rust, in transit en ook IN USE te versleutelen. Dus, hoe versleutelen we effectief data die gebruikt moet worden?

De encryptie-uitdaging

Zoals gezegd is het algemeen bekend dat de meeste gegevens niet worden versleuteld. Kijk maar naar de goed gedocumenteerde, aanhoudende groei van cybercriminaliteit. Kortom, alle datalekken en gevallen van data-ransom hebben één opvallende rode draad: elk doelwit bewaart miljoenen privé-, gevoelige en vertrouwelijke gegevens in een ongecodeerde staat. Opslag van gegevens, volledig geïndexeerd, gestructureerd en ongecodeerd als eenvoudig te lezen platte tekst, enkel en alleen om operationele use cases te ondersteunen. Deze uitdaging valt onder de noemer “Acceptable Risk”.

Vaak wordt gedacht dat als een organisatie een goede cyberhygiëne heeft, die organisatie gegevens encrypteert in rust (in opslag, gearchiveerd of geback-upt) en in transit of beweging (d.w.z. e-mailencryptie of het verzenden van gegevens van het ene punt naar het andere punt). En velen denken misschien dat dat genoeg is, of dat dit het beste is wat ze kunnen doen. Immers, encryptie in rust en in beweging is de enige encryptiefocus van huidige compliance- en governance-organen, waar ze database-encryptie aanpakken.

In werkelijkheid ontbreekt het de meeste compliance aan een echte definitie van wat als sterke database-encryptie zou worden beschouwd. Helaas is de mindset van velen nog steeds ‘als compliance het niet aanpakt, dan is het toch niet zo belangrijk?’

Laten we dit eens wat uitpakken. Waarom versleutelen we data niet? Versleuteling staat erom bekend complex, duur en moeilijk te beheren te zijn.

Als we alleen kijken naar traditionele encryptie van data in rust (archieven en statische data), dan omvatten deze encryptieoplossingen doorgaans een volledige “lift and shift” van de database naar de encryptie-at-rest-oplossing. Deze oefening vereist vaak een netwerkarchitect, databasebeheerder, gedetailleerde mapping en tijd.

Eenmaal gecodeerd, en ervan uitgaande dat lange-string encryptie zoals AES 256 wordt gebruikt, zijn de gegevens alleen veilig tot het punt dat ze nodig zijn. De gegevens zullen uiteindelijk nodig zijn om een ​​bedrijfsfunctie te ondersteunen, zoals klantenservice, verkoop, facturering, financiële dienstverlening, gezondheidszorg, audit en/of algemene updatebewerkingen. Op dat punt moet de volledige vereiste dataset (hetzij de volledige database of een segment) worden gedecodeerd en verplaatst naar een datastore als kwetsbare platte tekst.

Dit brengt een extra laag complexiteit met zich mee: de expertise van een DBA of database-expert, tijd om te decoderen, de opbouw van een beveiligingsenclave van complexe oplossingen die zijn ontworpen om de plaintext-datastore te bewaken en te ‘beveiligen’. Deze enclave van complexe oplossingen vereist nu een gespecialiseerd team van experts met kennis van hoe elk van die beveiligingstools functioneert. Voeg daar de noodzaak aan toe om elk van die beveiligingstools te patchen en te vernieuwen om hun effectiviteit te behouden, en we begrijpen nu waarom er dagelijks zoveel gegevens worden gecompromitteerd.

Natuurlijk, zodra de dataset is gebruikt, moet deze terug naar de gecodeerde staat. Dus de cyclus van complexiteit (en kosten) begint opnieuw.

Door deze complexiteit blijven deze gevoelige gegevens in veel situaties volledig ongecodeerd en kwetsbaar, waardoor ze altijd direct beschikbaar zijn. 100% van de cybercriminelen is het erover eens dat ongecodeerde gegevens de beste manier zijn om er eenvoudig toegang toe te hebben.

In dit voorbeeld ligt de nadruk op de encryptie van gegevens in rust, maar het is belangrijk om te weten dat gegevens die tijdens de overdracht worden gecodeerd, grotendeels hetzelfde proces doorlopen: ze worden alleen tijdens de overdracht gecodeerd, maar moeten worden gedecodeerd voor gebruik aan beide kanten van de transactie.

Er is een veel betere aanpak. Een die verder gaat dan basiscodering. Een moderne, completere databasecoderingsstrategie moet rekening houden met de codering van kritieke databasegegevens in drie toestanden: in rust, in beweging en nu IN GEBRUIK. Doorzoekbare codering, ook wel Encryptie-in-Gebruik genoemd, houdt die gegevens volledig gecodeerd terwijl ze nog bruikbaar zijn. Het verwijdert de complexiteit en kosten die gepaard gaan met het ondersteunen van een archaïsch coderings-, decoderings-, gebruiks- en hercoderingsproces.

Databeveiligingsspel

Samenvoegen van technologieën voor betere encryptie

Waarom is Searchable Encryption nu opeens de gouden standaard geworden voor de beveiliging van kritieke, vertrouwelijke en gecontroleerde gegevens?

Volgens Gartner is “de noodzaak om de vertrouwelijkheid van gegevens te beschermen en het nut van gegevens te behouden een topprioriteit voor data-analyse- en privacyteams die met grote hoeveelheden gegevens werken. Het vermogen om gegevens te versleutelen en deze toch veilig te verwerken, wordt beschouwd als de heilige graal van gegevensbescherming.”

Voorheen draaide de mogelijkheid van data-in-use encryptie om de belofte van Homomorphic Encryption (HE), dat notoir traag presteert, erg duur is en een obscene hoeveelheid verwerkingskracht vereist. Met behulp van Searchable Symmetric Encryption-technologie kunnen we echter “data in use” verwerken terwijl het gecodeerd blijft en bijna realtime, milliseconde queryprestaties behouden.

IDC-analist Jennifer Glenn zei: “Digitale transformatie heeft data draagbaarder en bruikbaarder gemaakt voor elk onderdeel van het bedrijf, terwijl het ook meer blootgesteld is. Doorzoekbare encryptie biedt een krachtige manier om data veilig en privé te houden en tegelijkertijd de waarde ervan te ontsluiten.”

“Technologieën zoals doorzoekbare encryptie worden snel onmisbaar voor organisaties om gegevens bruikbaar te houden en tegelijkertijd de integriteit en veiligheid ervan te waarborgen”, aldus Glenn.

Een 30+ jaar oud datamanagementbedrijf, Paperclip, heeft een oplossing gecreëerd om te bereiken wat ooit de ‘heilige graal van databescherming’ werd genoemd, encryptie van data in gebruik. Door gebruik te maken van gepatenteerde shreddingtechnologie die wordt gebruikt voor dataopslag en Searchable Symmetric Encryption, werd een oplossing geboren die de complexiteit, latentie en risico’s wegneemt die inherent zijn aan verouderde databeveiligings- en encryptiestrategieën.

De SAFE-encryptieoplossing

Begrijpend dat noodzaak de moeder van alle uitvindingen is, realiseerde Paperclip, opgericht in 1991 als een content supply-chain innovator, zich dat ze zelf meer moesten doen om de groep gevoelige gegevens die hun klanten hen toevertrouwden te beveiligen. Bij het analyseren van het groeiende aantal datalekken en data ransom-aanvallen werd één realiteit overduidelijk: dreigingsactoren compromitteren of stelen geen versleutelde gegevens.

Ze zijn lasergericht op de enorme hoeveelheden ongecodeerde, platte tekstdata die worden gebruikt om belangrijke operationele activiteiten te ondersteunen. Dat is waar ze de meeste schade kunnen aanrichten. Dat zijn de beste data om te gijzelen. Het waren deze kritieke data die moesten worden aangepakt. Het was tijd om de manier waarop we onze meest actieve data codeerden, op de databaselaag, te evolueren.

Dit was het begin van SAFE, eerst als oplossing en later om het op de commerciële markt te brengen.

Natuurlijk was het identificeren van de uitdaging eenvoudig. Alle organisaties hebben gevoelige data om te beschermen, en alle organisaties hebben gevoelige data waarop ze vertrouwen om hun kernactiviteiten uit te voeren. De volgende fase was om een ​​praktische oplossing te bouwen.

Paperclip SAFE is een SaaS-oplossing die volledig gecodeerde, doorzoekbare data-encryptie een praktische realiteit maakt. Het hele proces van encrypteren, decrypteren, gebruiken, opnieuw encrypteren – en de middelen die nodig zijn om die taken uit te voeren – is niet langer vereist. Belangrijker nog, SAFE verwijdert het excuus waarom miljoenen records nu volledig worden blootgesteld aan datadiefstal en ransomware-aanvallen.

SAFE Searchable Encryption wordt vaak een Privacy Enhancing Technology (PET) Platform genoemd. Als PET ontwikkelt SAFE de manier waarop gegevens worden beveiligd op de kerndatabaselaag. SAFE is uniek ten opzichte van alle andere encryptieoplossingen omdat het de volgende functies biedt:

  • Volledige AES 256-encryptie met ondersteuning voor data-eigenaar en data-houder sleutelkluizen – Een bedreigingsactor moet beide verschillende sleutels compromitteren. Zelfs dan krijgen ze geen toegang tot de data.
  • Gepatenteerde Paperclip Shredded Data Storage (SDS) – Zelfs voordat er gegevens zijn gecodeerd met AES 256, complexe encryptie, worden de gegevens in stukken versnipperd, gezouten en gehasht. Dit breekt alle context en creëert entropie. Stel je voor dat een bedreigingsactor beide encryptiesleutels in gevaar brengt. Wat ze uiteindelijk krijgen is alsof ze een micro-cross-cut-versnipperaar nemen, er een miljoen documenten doorheen halen, een derde van de versnipperde stukken weggooien, dat derde vervangen door versnipperde oude encyclopedieën, het schudden en op de grond gooien als een zieke, gestoorde legpuzzel. Gebaseerd op de huidige technologie zal het ongeveer 6000 jaar duren om al die stukken weer in elkaar te zetten.
  • Altijd gecodeerde dataset met volledige CRUD-functionaliteit (create, read, update, delete). – Wanneer de data niet in gebruik is, is deze inherent in rust, nog steeds volledig gecodeerd. Nooit meer gecodeerd, niet-gecodeerd… Het is altijd gecodeerd.
  • Snel gecodeerde samengestelde zoekopdracht (<100 milliseconden sneller dan een standaard SQL-query). Eindgebruikers merken niet eens dat SAFE op de achtergrond draait.
  • Continue Machine Learning en AI Threat Detection and Response (TDR) – SAFE is gebaseerd op Zero Trust, dus de oplossing zal gebruikerstrends monitoren en leren. Alle out-of-band-activiteiten worden geblokkeerd en vereisen administratieve maatregelen. De oplossing monitort ook op SQL-injecties, data fuzzing en andere acties van bedreigingsactoren. Als onderdeel van de oplossing produceert SAFE veel telemetrie die de SOC-monitoringservice van een klant kan voeden.
  • Eenvoudige JSON API-integratie. Er is wat ontwikkeling bij betrokken, maar het resultaat is geen verstoring voor de eindgebruiker en een dataset met altijd beschikbare, altijd gecodeerde gegevens.
  • Implementatieflexibiliteit – SAFE is een SaaS-oplossing, maar is ook ontworpen om te worden geïmplementeerd als een lichtgewicht on-premises oplossing. Bovendien kan SAFE worden geïntegreerd in een externe applicatie waarbij die externe partij gevoelige gegevens namens de klant beheert (uitbestede applicaties zoals personeelszaken, salarisadministratie, bankplatforms, EMR en PHR voor de gezondheidszorg, enz.). Als u uw gevoelige gegevens uitbesteedt aan een externe leverancier, is het tijd om te vragen hoe zij die gegevens versleutelen. Wat gebeurt er als die leverancier wordt gehackt? Zijn uw gegevens versleuteld?

We zitten in een race, een race die de dreigingsactoren lijken te winnen. Het is tijd om een ​​betere encryptie-engine te bouwen. Het is tijd voor SAFE.

In het huidige cybercentrische bedrijfslandschap omvat de behoefte aan doorzoekbare encryptie veel branches en use cases, zoals financiële dienstverlening, gezondheidszorg, bankieren, productie, overheid, onderwijs, kritieke infrastructuur, detailhandel en onderzoek, om er maar een paar te noemen. Er is geen gebied waar gegevens niet VEILIGER moeten zijn.

SAFE als SaaS-oplossing kan in minder dan 30 dagen worden geïmplementeerd zonder verstoring van eindgebruikers of netwerkarchitectuur. Ga voor meer informatie over SAFE doorzoekbare encryptie naar paperclip.com/safe.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Chad F. Walter, sinds juni 2022 Chief Revenue Officer bij Paperclip. Hij leidt verkoop- en marketinginitiatieven en heeft meer dan 20 jaar ervaring in cyberbeveiliging en technologie.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google bereidt Gemini voor om uw afbeeldingen te verfijnen met Magic Editor

X zou binnenkort een DM-bewerkingsfunctie kunnen krijgen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]