10 práticas recomendadas para proteger big data

Toda empresa deseja coletar uma grande quantidade de inteligência de negócios (BI), tanto dados quanto executivos, profissionais de marketing e todos os outros departamentos da organização podem obter. Mas uma vez que você obtém esses dados, a dificuldade reside não apenas em analisar o enorme lago de dados para encontrar as principais informações pelas quais você está procurando (sem ser inundado pelo grande volume de informações), mas também em proteger todos esses dados..

Portanto, enquanto o departamento de TI da empresa e os cientistas de dados executam algoritmos de análise preditiva, visualizações de dados e empregam um arsenal de outras técnicas de análise de dados no Big Data que você coletou, sua empresa precisa garantir que não haja vazamentos ou pontos fracos no reservatório.

Para esse fim, a Cloud Security Alliance (CSA) lançou recentemente o Manual de segurança e privacidade de Big Data: 100 melhores práticas em segurança e privacidade de Big Data. A longa lista de práticas recomendadas está distribuída em 10 categorias, portanto, reduzimos as práticas recomendadas para 10 dicas para ajudar seu departamento de TI a bloquear seus principais dados comerciais. Essas dicas empregam um arsenal de técnicas de armazenamento, criptografia, governança, monitoramento e segurança de dados.

1. Proteja as estruturas de programação distribuída

Estruturas de programação distribuída como o Hadoop compõem uma grande parte das distribuições modernas de Big Data, mas elas apresentam um sério risco de vazamento de dados. Eles também vêm com o que chamamos de "mapeadores não confiáveis" ou dados de várias fontes que podem produzir resultados agregados e com erros.

A CSA recomenda que as organizações primeiro estabeleçam confiança usando métodos como a autenticação Kerberos, garantindo a conformidade com as políticas de segurança predefinidas. Em seguida, você "desidentifica" os dados dissociando todas as informações de identificação pessoal (PII) dos dados para garantir que a privacidade pessoal não seja comprometida. A partir daí, você autoriza o acesso a arquivos com política de segurança predefinida e garante que o código não confiável vaze informações pelos recursos do sistema usando o controle de acesso obrigatório (MAC), como a ferramenta Sentry no Apache HBase. Depois disso, a parte difícil acaba, pois tudo o que resta a fazer é proteger contra vazamentos de dados com manutenção regular. O departamento de TI deve verificar os nós dos trabalhadores e os mapeadores em sua nuvem ou ambiente virtual e ficar atento a nós falsos e duplicatas alteradas de dados.

2. Proteja seus dados não relacionais

Bancos de dados não relacionais, como o NoSQL, são comuns, mas são vulneráveis ​​a ataques como a injeção do NoSQL; o CSA lista um bando de contramedidas para se proteger contra isso. Comece criptografando ou fazendo hash de senhas e certifique-se de garantir a criptografia de ponta a ponta criptografando dados em repouso usando algoritmos como o padrão de criptografia avançado (AES), RSA e o algoritmo de hash seguro 2 (SHA-256). A segurança da camada de transporte (TLS) e a criptografia SSL (Secure Sockets Layer) também são úteis.

Além dessas medidas básicas, além de camadas como identificação de dados e segurança no nível de objeto, você também pode proteger dados não relacionais usando o chamado PAM (Pluggable Authentication Modules); esse é um método flexível para autenticar usuários e garantir o log de transações usando uma ferramenta como o log do NIST. Por fim, existem os chamados métodos de difusão, que expõem as vulnerabilidades de script entre sites e injetam entre o NoSQL e o protocolo HTTP, usando entrada de dados automatizada nos níveis de protocolo, nó de dados e aplicativo da distribuição.

3. Armazenamento seguro de dados e logs de transações

O gerenciamento de armazenamento é uma parte essencial da equação de segurança do Big Data. A CSA recomenda o uso de resumos de mensagens assinados para fornecer um identificador digital para cada arquivo ou documento digital e usar uma técnica chamada SUNDR (Repositório de Dados Não Confiáveis) para detectar modificações não autorizadas de arquivos por agentes mal-intencionados do servidor.

O manual lista também várias outras técnicas, incluindo revogação lenta e rotação de chaves, esquemas de criptografia baseada em políticas e broadcast e gerenciamento de direitos digitais (DRM). No entanto, não há substituto para simplesmente criar seu próprio armazenamento em nuvem seguro sobre a infraestrutura existente.

4. Filtragem e validação de terminais

A segurança do terminal é fundamental e sua organização pode começar usando certificados confiáveis, testando recursos e conectando apenas dispositivos confiáveis ​​à sua rede usando uma solução de gerenciamento de dispositivo móvel (MDM) (sobre o software de proteção antivírus e malware). A partir daí, você pode usar técnicas de detecção de similaridade estatística e técnicas de detecção de outlier para filtrar entradas maliciosas, enquanto protege contra ataques Sybil (ou seja, uma entidade que se disfarça de múltiplas identidades) e ataques de falsificação de identidade.

5. Conformidade em tempo real e monitoramento de segurança

A conformidade é sempre uma dor de cabeça para as empresas, e ainda mais quando você está lidando com um dilúvio constante de dados. É melhor enfrentá-lo de frente com análises e segurança em tempo real em todos os níveis da pilha. A CSA recomenda que as organizações apliquem a análise de Big Data usando ferramentas como Kerberos, SSH (Secure Shell) e IPsec (Internet Protocol Security) para controlar os dados em tempo real.

Depois de fazer isso, você pode explorar eventos de log, implantar sistemas de segurança front-end, como roteadores e firewalls em nível de aplicativo, e começar a implementar controles de segurança em toda a pilha nos níveis de nuvem, cluster e aplicativo. A CSA também adverte as empresas quanto a ataques de evasão que tentam burlar sua infraestrutura de Big Data e o que é chamado de ataques de "envenenamento de dados" (ou seja, dados falsificados que enganam seu sistema de monitoramento).

6. Preservar a privacidade dos dados

Manter a privacidade dos dados em conjuntos sempre crescentes é realmente difícil. A CSA disse que a chave deve ser "escalável e compostável", implementando técnicas como privacidade diferencial - maximizando a precisão das consultas e minimizando a identificação de registros - e criptografia homomórfica para armazenar e processar informações criptografadas na nuvem. Além disso, não economize nos itens básicos: a CSA recomenda a incorporação de treinamento de conscientização dos funcionários que se concentre nas regulamentações de privacidade atuais e certifique-se de manter a infraestrutura de software usando mecanismos de autorização. Finalmente, as práticas recomendadas incentivam a implementação do que é chamado de "composição de dados que preserva a privacidade", que controla o vazamento de dados de vários bancos de dados, revisando e monitorando a infraestrutura que está vinculando os bancos de dados.

7. Criptografia de Big Data

A criptografia matemática não saiu de moda; de fato, ficou muito mais avançado. Ao construir um sistema para pesquisar e filtrar dados criptografados, como o protocolo SSE (Pesquisa Simétrica), as empresas podem realmente executar consultas booleanas nos dados criptografados. Depois de instalado, o CSA recomenda uma variedade de técnicas criptográficas.

A criptografia relacional permite comparar dados criptografados sem compartilhar chaves de criptografia, combinando identificadores e valores de atributos. A criptografia baseada em identidade (IBE) facilita o gerenciamento de chaves em sistemas de chaves públicas, permitindo que o texto simples seja criptografado para uma determinada identidade. A criptografia baseada em atributo (ABE) pode integrar controles de acesso a um esquema de criptografia. Por fim, há criptografia convergente, que usa chaves de criptografia para ajudar os provedores de nuvem a identificar dados duplicados.

8. Controle de Acesso Granular

O controle de acesso é sobre duas coisas principais, de acordo com a CSA: restringir o acesso do usuário e conceder acesso ao usuário. O truque é criar e implementar uma política que escolha a correta em qualquer cenário. Para configurar controles de acesso granulares, o CSA tem várias dicas de acesso rápido:

Normalize elementos mutáveis ​​e desnormalize elementos imutáveis,

Acompanhe os requisitos de sigilo e garanta a implementação adequada,

Manter etiquetas de acesso,

Acompanhe os dados do administrador,

Use o logon único (SSO) e

Use um esquema de rotulagem para manter a federação de dados adequada.

9. Auditoria, Auditoria, Auditoria

A auditoria granular é essencial na segurança do Big Data, principalmente após um ataque ao seu sistema. A CSA recomenda que as organizações criem uma visão de auditoria coesa após qualquer ataque e forneça uma trilha de auditoria completa, garantindo um acesso fácil a esses dados para reduzir o tempo de resposta a incidentes.

A integridade e confidencialidade das informações de auditoria também são essenciais. As informações de auditoria devem ser armazenadas separadamente e protegidas com controles granulares de acesso do usuário e monitoramento regular. Mantenha seus Big Data e dados de auditoria separados e ative todos os logs necessários ao configurar a auditoria (para coletar e processar as informações mais detalhadas possíveis). Uma camada de auditoria de código-fonte aberto ou uma ferramenta de orquestrador de consultas, como o ElasticSearch, pode facilitar tudo isso.

10. Proveniência de Dados

A proveniência dos dados pode significar várias coisas diferentes, dependendo de quem você perguntar. Mas o que o CSA está se referindo são os metadados de proveniência gerados pelos aplicativos Big Data. Essa é outra categoria de dados que precisa de proteção significativa. A CSA recomenda primeiro desenvolver um protocolo de autenticação de infraestrutura que controla o acesso, ao mesmo tempo em que configura atualizações periódicas de status e verifica continuamente a integridade dos dados usando mecanismos como somas de verificação.

Além disso, as demais práticas recomendadas da CSA para obtenção de dados ecoam o restante da nossa lista: implemente controles de acesso granular dinâmicos e escalonáveis ​​e implemente métodos de criptografia. Não há um truque secreto para garantir a segurança do Big Data em toda a organização e em todos os níveis de sua infraestrutura e pilha de aplicativos. Ao lidar com lotes de dados tão vastos, apenas um esquema de segurança de TI exaustivamente abrangente e a adesão de usuários em toda a empresa darão à sua organização a melhor chance de manter todos os últimos 0 e 1 seguros e protegidos.