Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji!
Blogi

Jak używać mechanizmu szyfrowania do ochrony informacji?

Szyfrowanie danychW przypadku testów bezpieczeństwa Plus pamiętaj, że dane z dowolnego dysku przenośnego lub sprzętu mobilnego muszą być zaszyfrowane, aby zachować poufność. W związku z tym ważne jest, aby znać techniki szyfrowania danych.

Szyfrowanie danych

Najważniejsze jest to, że za każdym razem, gdy przechowujesz dane na danym typie pamięci lub urządzeniu, musisz sprawdzić, czy można je zaszyfrować. Szyfrowanie można realizować na różne sposoby w jednym systemie. Na poniższej liście wymieniono niektóre popularne obszary szyfrowania informacji:

s Szyfrowanie całego dysku: Obecnie większość systemów operacyjnych obsługuje szyfrowanie całego dysku (FDE). Przykładowo Windows 7 i nowsze wersje posiadają mechanizm BitLocker, który umożliwia zaszyfrowanie całej zawartości dysku, łącznie z systemem operacyjnym. W ten sposób, aby uruchomić system, osoba musi znać klucz do odszyfrowania plików startowych.

Baza danych: Podczas przechowywania informacji w bazie danych bardzo ważne jest szyfrowanie wrażliwych danych. Załóżmy na przykład, że Twoja firma ma aplikację, która przechowuje numer karty kredytowej klienta, a nawet hasło klienta w witrynie. W takim przypadku należy zaszyfrować te dane w bazie danych, ponieważ hakerzy mogą uzyskać dostęp do bazy danych i odkryć te informacje, jeśli nie są one zaszyfrowane.

s Pojedyncze pliki: jeśli nie szyfrujesz zawartości całego dysku, możesz spróbować zaszyfrować zawartość wybranych poufnych dokumentów. Można na przykład użyć systemu szyfrowania plików (EFS) w systemie Windows do szyfrowania pojedynczych plików.

■ Nośniki przenośne: jeśli przechowujesz dane na dysku przenośnym, takim jak dysk flash, pamiętaj o zaszyfrowaniu wszystkich danych firmowych znajdujących się na tym dysku. Utrata lub zapomnienie pamięci flash w dowolnym miejscu nie jest odległa od oczekiwań, a jeśli informacje nie są zaszyfrowane, każdy może przeczytać ich zawartość!

s Urządzenia mobilne: Większość urządzeń mobilnych umożliwia szyfrowanie zawartości, dzięki czemu nikt nie będzie mógł odzyskać danych w przypadku ich zgubienia lub kradzieży.

Szyfrowanie sprzętowe

Oprogramowanie lub sprzęt może szyfrować dane (chipy komputerowe zainstalowane w systemie). Zaletą korzystania z szyfrowania sprzętowego jest to, że działa ono szybciej i wydajniej niż rozwiązania programowe. Ponadto ze względu na złożoność obliczeń organizacje korzystają z rozwiązań sprzętowych, aby szybciej wykonać ten proces.

▪ Moduł Trusted Platform: TPM to chip umieszczony na płycie głównej systemu (pod pewnymi warunkami istnieje także możliwość osobnego zainstalowania modułu) i przechowujący klucze szyfrujące służące do szyfrowania danych. Aplikacje korzystające z haseł do szyfrowania danych są podatne na ataki słownikowe. TPM posiada moduł zapobiegania atakom słownikowym. W systemie Windows funkcja BitLocker obsługuje moduł TPM w celu zapisywania kluczy. Pamiętaj, że BIOS musi obsługiwać TPM i być na nim aktywny.

HSM: Sprzętowy moduł zabezpieczający (HSM) to karta dodawana do systemu zawierającego procesor kryptograficzny w celu wykonywania funkcji szyfrowania asymetrycznego na poziomie sprzętowym. Obejmuje również chipy przechowujące klucze szyfrujące do wykorzystania przez system.

▪ Mechanizm szyfrowania USB i dysku twardego: Jak już wspomniano, należy upewnić się, że każdy przenośny dysk twardy i pamięć, np. dyski USB, są szyfrowane, aby osoby nieupoważnione nie mogły uzyskać dostępu do danych.

Uwaga: do testu Security Plus potrzebne są pełne informacje na temat układu TPM. Należy również pamiętać, że jeśli do szyfrowania zawartości dysku używasz modułu TPM, musisz mieć kopię kluczy, aby odszyfrować zawartość dysku na wypadek awarii układu TPM lub płyty głównej.

Inne kwestie związane z bezpieczeństwem danych

W kategorii ochrony danych istnieją inne kwestie, na które należy zwrócić uwagę. Wśród nich są następujące:

■ Przechowywanie w chmurze: jeśli przechowujesz informacje w chmurze, upewnij się, że znasz politykę bezpieczeństwa swojej organizacji w tym obszarze. Niektóre organizacje nie mogą przechowywać danych w chmurze ze względu na ich wrażliwy charakter.

▪ SAN: większość organizacji posiada sieć pamięci masowej, w której przechowuje wszystkie swoje dane. Upewnij się, że masz czas na sprawdzenie, czy sieć SAN jest skonfigurowana bezpiecznie.

▪ Obsługa dużych zbiorów danych: Upewnij się, że duże zbiory danych używane do przechowywania danych firmowych są bezpieczne i korzystaj z bezpiecznych kanałów, gdy uzyskujesz dostęp do klientów w sieci. Big Data to duży zbiór danych wykorzystywany przez organizacje do analizowania i podejmowania decyzji biznesowych.

Dane są przesyłane, a dane w spoczynku: zapewnij bezpieczeństwo danych w przestrzeni dyskowej, przypisując uprawnienia lub szyfrując i zapewniając przesyłanie danych z szyfrowaniem. Zachowałeś także w jak największym stopniu zasadę dokładności i integralności informacji, ograniczając działania, jakie ludzie mogą podejmować z danymi znajdującymi się w oprogramowaniu.

Inne kwestie związane z bezpieczeństwem danych

Podczas zabezpieczania danych należy wziąć pod uwagę kilka innych kwestii, w tym:

■ Przechowywanie w chmurze: jeśli przechowujesz informacje w chmurze, upewnij się, że znasz politykę bezpieczeństwa swojej organizacji w tym obszarze. Niektóre organizacje nie mogą przechowywać danych w chmurze ze względu na wrażliwy charakter danych.

▪ SAN: większość organizacji posiada sieć pamięci masowej, w której przechowuje wszystkie swoje dane. Poświęć trochę czasu na sprawdzenie, czy sieć SAN jest skonfigurowana bezpiecznie.

▪ Obsługa Big Data: Upewnij się, że Big Data, używane do przechowywania danych firmowych, jest bezpieczne i korzysta z bezpiecznych kanałów, gdy klienci mają dostęp do sieci. Big Data to duży zbiór danych wykorzystywany przez organizacje do analizowania i podejmowania decyzji biznesowych.

■ Dane są przesyłane, dane są w spoczynku: dane w użyciu zapewniają zabezpieczenie danych w przestrzeni dyskowej za pomocą uprawnień lub szyfrowania oraz zabezpieczają udostępniane dane za pomocą szyfrowania. Upewnij się także, że informacje są bezpieczne, ograniczając działania, jakie ludzie mogą podejmować przy użyciu tego oprogramowania.

Wdrażaj zasady dotyczące danych

W początkowej liczbie szkoleń z zakresu bezpieczeństwa zbadaliśmy jeden z najważniejszych aspektów bezpieczeństwa, na który powinna zwrócić uwagę każda organizacja, czyli posiadanie ścisłej polityki bezpieczeństwa oraz wszystkich jej nakazów i zakazów. Niezbędna jest aktualizacja polityk bezpieczeństwa i przygotowanie polityki danych, która uwzględnia:

▪ Wymaż: upewnij się, że ta zasada przewiduje bezpieczne wymazywanie urządzeń i trwałe usuwanie danych, gdy nie są już używane.

Odrzuć: pamiętaj o określeniu w polityce sposobu odkładania urządzeń przechowujących dane. Na przykład podczas przełączania dysku twardego do systemu niezawodnym sposobem jest fizyczne zniszczenie dysku twardego i nikt nie ma dostępu do informacji o branży.

▪ Zachowaj pewność: upewnij się, że Twoja organizacja posiada politykę ochrony określającą czas przechowywania danych i zapisów.

▪ Przechowywanie: upewnij się, że ta zasada określa miejsce przechowywania danych. Na przykład możesz określić w tej polityce, czy pamięć flash jest prawidłową opcją przechowywania plików firmowych lub czy Firma może korzystać z magazynu w chmurze.

Praktyki w zakresie bezpieczeństwa danych i prywatności

Istnieje kilka sposobów ochrony lub usunięcia danych. Wszystkie organizacje powinny wdrożyć politykę degradacji danych i czyszczenia nośników, aby pomóc specjalistom IT dowiedzieć się, jak usunąć dane z urządzeń, takich jak stare dyski twarde i urządzenia mobilne. Poniżej znajduje się kilka opcji usuwania danych w celu ochrony prywatności organizacji:

s Nagrywanie: Prostym sposobem zniszczenia poufnych dokumentów jest spalenie ich kopii.

Niszczenie: Technikę niszczenia dokumentów można zastosować w celu usunięcia poufnych informacji. Do tego celu potrzebna jest kruszarka. Dokument pocięty za pomocą typowego niszczenia paskowego daje hakerom szansę na połączenie sekcji i przeglądanie danych, ale niszczenie krzyżowe trwale usuwa informacje. Aby wyeliminować stare dyski twarde, możesz kupić konkretną niszczarkę.

Wymazywanie: możesz użyć określonych programów, aby bezpiecznie wyczyścić dysk, co oznacza kilkakrotne nadpisanie dysku, aby mieć pewność, że dane nie zostaną odzyskane.

Uwaga: Aby przetestować Security Plus, musisz znać różne dostępne techniki zapewniające poufność danych podczas korzystania z urządzenia. W bardzo bezpiecznych środowiskach stare dyski są fizycznie tracone, aby nikt nie mógł odzyskać znajdujących się na nich danych.

Bezpieczeństwo programów i wyzwań związanych z BYOD

Gorącym tematem dodanym do testu certyfikacyjnego Security Plus jest temat praktyk bezpieczeństwa związanych z aplikacjami i urządzeniami (BYOD). W tej sekcji dowiesz się o standardowych najlepszych praktykach, które pomogą Ci wdrożyć bezpieczne środowisko dla aplikacji i pozwolą użytkownikom korzystać z innego sprzętu, aby działał zgodnie z zabezpieczeniami.

Najlepsze sposoby zabezpieczania aplikacji

Najpierw przyjrzyjmy się niektórym standardowym najlepszym praktykom, które pomogą w budowaniu bezpiecznej infrastruktury. Chociaż niektóre z tych tematów były omawiane w poprzednich rozdziałach, ich zbadanie jest niezwykle istotne.

■ Zarządzanie kluczami: upewnij się, że wrażliwe aplikacje korzystają z najlepszych praktyk podczas tworzenia kluczy szyfrujących i zabezpieczania kluczy.

Zarządzanie danymi uwierzytelniającymi: Upewnij się, że wszelkie dane uwierzytelniające w aplikacji są używane w sposób bezpieczny i przechowywane w bazie danych w zaszyfrowanym formacie.

■ Uwierzytelnianie: upewnij się, że aplikacja uwierzytelnia wszystkich użytkowników aplikacji i na podstawie tego uwierzytelnienia kontroluje, do czego użytkownik ma do nich dostęp.

■ Geotagowanie: sprawdź, czy aplikacja, której używasz, korzysta z funkcji geotagowania i czy warunki geograficzne są przechowywane w plikach takich jak zdjęcia lub filmy. Ujawnianie geolokalizacji jest jednym z istotnych problemów związanych z prywatnością, ponieważ lokalizację fizyczną można określić na podstawie danych geotagu.

■ Szyfrowanie: upewnij się, że aplikacja szyfruje wszelkie poufne informacje, w tym komunikację sieciową i wrażliwe dane, w przestrzeni dyskowej.

Lista dozwolonych programów: niektóre wrażliwe programy mają funkcję listy dozwolonych, którą można skonfigurować w aplikacji. Na przykład program pocztowy może mieć listę dozwolonych kontaktów, listę referencji, które mogą wysyłać wiadomości e-mail w ramach oprogramowania.

Obawy dotyczące bezpieczeństwa BYOD

Jednym z istotnych problemów związanych z bezpieczeństwem jest obecnie to, że pracownicy przynoszą do biura swoje urządzenia, takie jak telefony komórkowe, tablety i laptopy, i używają ich do wykonywania zadań służbowych. Poniżej przedstawiono pewne obawy dotyczące umożliwienia pracownikowi korzystania z urządzenia osobistego, które należy wziąć pod uwagę przy projektowaniu polityki BYOD:

▪ Własność danych: chcesz mieć pewność, że formułujesz i ogłaszasz zasady dotyczące informacji, jeśli zezwalasz pracownikom na korzystanie z ich urządzeń w pracy. Ponadto należy powiadomić pracowników, że w przypadku opuszczenia Firmy powinni usunąć z urządzenia wszystkie informacje firmowe.

■ Własność urządzenia i odpowiedzialność: istotne jest określenie, kto jest odpowiedzialny za obsługę urządzenia w przypadku problemów z nim. Większość firm dba o to, aby pracownicy wiedzieli, że są odpowiedzialni za przechowywanie swoich urządzeń.

Zarządzaj poprawkami: określ, kto aktualizuje urządzenie za pomocą poprawek. Niektóre organizacje delegują tę odpowiedzialność na pracownika, którego zadaniem jest zainstalowanie go na swoim urządzeniu po wydaniu poprawki.

s Zarządzanie oprogramowaniem antywirusowym decyduje o tym, kto zarządza funkcjami programu antywirusowego. Jeśli jest to pracownik, upewnij się, że ma on na swoim urządzeniu oprogramowanie antywirusowe i aktualizuj definicje bazy wirusów.

Dowody cyfrowe: Twoja polityka BYOD powinna jasno określać, że w przypadku wystąpienia incydentu związanego z bezpieczeństwem urządzenia osobistego, Firma ma prawo przeprowadzić analizę kryminalną na urządzeniu. Pracownik może się na to nie zgodzić, dlatego nie należy pozwalać mu na używanie rzeczy osobistych do pracy.

s Prywatność: Kolejnym drażliwym tematem w tym obszarze jest prywatność właściciela urządzenia. Warto zapytać pracownika, czy będzie przechowywać dane firmowe na urządzeniu; w razie potrzeby masz prawo sprawdzić ich urządzenie. Ponownie pracownik może się na to nie zgodzić i w efekcie nie powinien mieć dostępu do danych firmowych na urządzeniach osobistych.

Włączanie/wyłączanie: Jeśli zamierzasz zezwolić urządzeniom osobistym potrzebującym dostępu do Twoich systemów i sieci, musisz upewnić się, że istnieją procedury dodawania tych urządzeń osobistych do systemu zarządzania tożsamością i dostępem (IAM) używanego do identyfikować ludzi. Dodanie nowego urządzenia do sieci nazywa się onboardingiem, a usunięcie urządzenia z systemu nazywa się offboardingiem.

▪ Przestrzegaj zasad firmy: Kolejnym krytycznym punktem jest upewnienie się, że pracownik przestrzega zasad firmy podczas korzystania z urządzenia osobistego. Może obejmować zasady zarządzania oprogramowaniem antywirusowym, poprawki i dopuszczalne użycie.

■ Odpowiedzialność użytkownika: Upewnij się, że pracownik zgadza się z warunkami korzystania z urządzenia osobistego w pracy, a jeśli się z tym nie zgadza, powinieneś zabronić korzystania z tego urządzenia. Pamiętaj, że Twoim celem jest ochrona interesów Spółki.

Względy dotyczące architektury/infrastruktury: Jeśli urządzenia osobiste są podłączone do sieci firmowej, należy wprowadzić zmiany i uważnie wszystko monitorować. Na przykład może być konieczne zainstalowanie określonych certyfikatów na urządzeniach lub rozszerzenie zakresu adresów IP na serwerze DHCP.

s Kwestie prawne: Istnieje wiele obaw prawnych związanych z zezwoleniem na komercyjne wykorzystanie urządzenia osobistego. Kwestie prawne obejmują to, kto jest właścicielem danych, jak badania kryminologii cyfrowej wpływają na urządzenie oraz prywatność pracowników będących posiadaczami urządzenia. Obserwacja tych punktów uodparnia sieć korporacyjną.

■ Zasady dopuszczalnego użytkowania: Upewnij się, że pracownik zgadza się z zasadami dobrego użytkowania podczas korzystania ze swojego urządzenia. Zazwyczaj pracownicy chcą używać swoich urządzeń w celu ominięcia akceptowalnych zasad użytkowania.

▪ Kamera urządzenia: może być konieczne wyłączenie kamery, dzięki czemu nie będziesz musiał martwić się nagrywaniem materiału ani fotografowaniem lokalizacji.

Pobierz motywy WordPress za darmoPobierz bezpłatne motywy WordPress PremiumPobierz najlepsze motywy WordPress do pobrania za darmoBezpłatne pobieranie motywów WordPressdarmowy kurs Udemy do pobraniapobierz oprogramowanie SamsungaBezpłatne pobieranie motywów WordPresskurs udemy do pobrania za darmo

Empfohlene Themen: