Aranabilir Şifreleme uzun zamandır bir gizemdi. Bir çelişki. Her yerdeki siber güvenlik profesyonellerinin ulaşılamaz bir hayali.
Kuruluşlar, veri hırsızlığını ve ihlallerini önlemek için en değerli, hassas verilerini şifrelemeleri gerektiğini bilirler. Ayrıca, kurumsal verilerin kullanılmak için var olduğunu da anlarlar. İşletmelerin çalışmaya devam etmesi için aranmak, görüntülenmek ve değiştirilmek için. Ne yazık ki, Ağ ve Veri Güvenliği Mühendislerimize onlarca yıl boyunca şifrelenmiş bir durumdayken verileri arayamayacağınız veya düzenleyemeyeceğiniz öğretildi.
Yapabildikleri en iyi şey, bu düz metin, şifrelenmemiş verileri karmaşık donanım, yazılım, politikalar, kontroller ve yönetişimden oluşan bir kozanın içine sarmaktı. Peki bu şimdiye kadar nasıl işledi? Sadece T-Mobile ihlaline, United Healthcare ihlaline, Uber’e, Verizon’a, Kaiser Foundation Health Plan’a, Bank of America’ya, Prudential’a bakın… ve liste uzayıp gidiyor. Bu ihlallerde çalınan tüm veriler, günlük operasyonları desteklemek için şifrelenmemiş olarak kaldı.
Verileri güvence altına alma şeklimizin işe yaramadığı sonucuna varmak güvenlidir. Düşüncemizi ve yaklaşımımızı geliştirmemiz kritik öneme sahiptir. Tüm verileri hareketsizken, hareket halindeyken ve ayrıca KULLANIMDA şifrelemenin zamanı geldi. Peki, kullanılması gereken verileri etkili bir şekilde nasıl şifreleriz?
Şifreleme Mücadelesi
Belirtildiği gibi, çoğu verinin şifrelenmediği iyi bilinmektedir. Siber suç faaliyetinin iyi belgelenmiş, devam eden büyüme hızına bir bakın. Kısacası, tüm veri ihlalleri ve veri fidye davalarının bariz bir ortak noktası vardır: her hedef, milyonlarca özel, hassas ve gizli kaydı şifrelenmemiş bir durumda tutar. Tamamen dizinlenmiş, yapılandırılmış ve şifrelenmemiş, yalnızca operasyonel kullanım durumlarını desteklemek için okunması kolay düz metin olarak depolanan veriler. Bu zorluk “Kabul Edilebilir Risk” himayesine girer.
Genellikle bir kuruluşun iyi bir siber hijyene sahip olması durumunda, o kuruluşun hareketsiz (depolama, arşivleme veya yedeklenmiş) ve aktarım veya hareket halindeki (yani e-posta şifreleme veya bir noktadan diğerine veri gönderme) verileri şifrelediği düşünülür. Ve birçoğu bunun yeterli olduğunu veya yapabilecekleri en iyi şeyin bu olduğunu düşünebilir. Sonuçta, hareketsiz ve hareket halindeki şifreleme, veritabanı şifrelemesini ele aldıkları mevcut uyumluluk ve yönetim organlarının tek şifreleme odak noktasıdır.
Gerçekte, çoğu uyumluluk güçlü veritabanı şifrelemesinin ne olarak kabul edileceğine dair gerçek bir tanımdan yoksundur. Ne yazık ki, çoğu kişi için zihniyet hala ‘uyumluluk bunu ele almıyorsa, o kadar da önemli olmamalı, değil mi?’
Bunu biraz açalım. Neden verileri şifrelemiyoruz? Şifrelemenin karmaşık, pahalı ve yönetilmesi zor olduğu yönünde bir ünü vardır.
Sadece hareketsiz verilerin (arşivler ve statik veriler) geleneksel şifrelemesine bakıldığında, bu şifreleme çözümleri genellikle veritabanının hareketsiz şifreleme çözümüne tamamen “kaldırılıp kaydırılmasını” içerir. Bu uygulama genellikle bir ağ mimarı, veritabanı yöneticisi, ayrıntılı eşleme ve zaman.
Şifrelendikten sonra ve AES 256 gibi uzun dize şifrelemesinin kullanıldığı varsayıldığında, veriler yalnızca ihtiyaç duyulduğu noktaya kadar güvenlidir. Veriler sonunda müşteri hizmetleri, satış, faturalama, finansal hizmet, sağlık hizmeti, denetim ve/veya genel güncelleme işlemleri gibi bir işlevi desteklemek için gerekecektir. O noktada, tüm gerekli veri kümesinin (tam veritabanı veya bir segment) şifresinin çözülmesi ve savunmasız düz metin olarak bir veri deposuna taşınması gerekir.
Bu, başka bir karmaşıklık katmanı getiriyor: Bir DBA veya veritabanı uzmanının uzmanlığı, şifre çözme süresi, düz metin veri deposunu izlemek ve “güvenliğini sağlamak” için tasarlanmış karmaşık çözümlerden oluşan bir güvenlik bölgesinin oluşturulması. Şimdi bu karmaşık çözümler bölgesi, bu güvenlik araçlarının her birinin nasıl çalıştığına dair bilgi sahibi uzmanlardan oluşan özel bir ekip gerektiriyor. Bu güvenlik araçlarının her birini yalnızca etkinliklerini korumak için yamalama ve yenileme ihtiyacını da ekleyin ve artık neden bu kadar çok verinin günlük olarak tehlikeye atıldığını anlıyoruz.
Elbette, veri seti kullanıldıktan sonra şifrelenmiş haline geri döndürülmesi gerekiyor. Yani, karmaşıklık (ve masraf) döngüsü yeniden başlıyor.
Bu karmaşıklık döngüsü nedeniyle, birçok durumda bu hassas veriler tamamen şifrelenmemiş, savunmasız bir durumda kalır, bu nedenle her zaman kolayca erişilebilir durumdadır. Tehdit aktörlerinin %100’ü, şifrelenmemiş verilerin kolayca erişebilecekleri en iyi veri türü olduğu konusunda hemfikirdir.
Bu örnek, hareketsiz verilerin şifrelenmesine odaklanmaktadır; ancak aktarım sırasında şifrelenen verilerin de büyük ölçüde aynı süreçten geçtiğini unutmamak önemlidir; veriler yalnızca aktarım sırasında şifrelenir, ancak işlemin her iki tarafında da kullanılabilmesi için şifresinin çözülmesi gerekir.
Çok daha iyi bir yaklaşım var. Temel şifrelemenin ötesine geçen bir yaklaşım. Modern, daha eksiksiz bir veritabanı şifreleme stratejisi, kritik veritabanı verilerinin üç durumda şifrelenmesini hesaba katmalıdır: hareketsiz, hareket halinde ve artık KULLANIMDA. Aranabilir Şifreleme, aynı zamanda Kullanımda Şifreleme olarak da adlandırılır, bu veriler hala kullanılabilirken tamamen şifrelenmiş halde tutulur. Eski bir şifreleme, şifre çözme, kullanma ve yeniden şifreleme sürecini desteklemeyle ilgili karmaşıklığı ve masrafı ortadan kaldırır.
Daha İyi Şifreleme İçin Teknolojilerin Birleştirilmesi
Peki, neden şimdi Aranabilir Şifreleme aniden kritik özel, hassas ve kontrollü veri güvenliğinde altın standart haline geliyor?
Gartner’a göre, “Veri gizliliğini koruma ve veri kullanışlılığını sürdürme ihtiyacı, büyük miktarda veriyle çalışan veri analitiği ve gizlilik ekipleri için en önemli endişe kaynağıdır. Verileri şifreleme ve yine de güvenli bir şekilde işleme yeteneği, veri korumanın kutsal kasesi.”
Daha önce, kullanımda veri şifrelemesi olasılığı, bilinen derecede yavaş performansa sahip, gerçekten pahalı ve aşırı miktarda işlem gücü gerektiren Homomorfik Şifreleme (HE) vaadi etrafında dönüyordu. Ancak, Aranabilir Simetrik Şifreleme teknolojisinin kullanımıyla, şifrelenmiş halde kalırken “kullanımda veriyi” işleyebilir ve neredeyse gerçek zamanlı, milisaniyelik sorgu performansını koruyabiliriz.
IDC Analisti Jennifer Glenn, “Dijital dönüşüm, verileri işletmenin her bölümü tarafından daha taşınabilir ve kullanılabilir hale getirirken, aynı zamanda daha fazla açığa çıkmasını sağladı. Aranabilir şifreleme, verileri güvenli ve özel tutarken değerini açığa çıkarmak için güçlü bir yol sunuyor.” dedi.
Glenn, “Aranabilir şifreleme gibi teknolojiler, kuruluşların verilerinin bütünlüğünü ve güvenliğini sağlarken kullanılabilirliğini de koruması için hızla vazgeçilmez bir unsur haline geliyor” dedi.
30 yılı aşkın bir süredir faaliyet gösteren bir veri yönetim şirketi olan Paperclip, bir zamanlar ‘veri korumanın kutsal kasesi’ olarak adlandırılan, kullanımdaki verilerin şifrelenmesini başarmak için bir çözüm yarattı. Veri depolama için kullanılan patentli parçalama teknolojisi ve Aranabilir Simetrik Şifreleme’den yararlanılarak, eski veri güvenliği ve şifreleme stratejilerinin doğasında bulunan karmaşıklığı, gecikmeyi ve riski ortadan kaldıran bir çözüm doğdu.
SAFE Şifreleme Çözümü
Gerekliliğin tüm icatların anası olduğunu anlayan Paperclip, 1991’de içerik tedarik zinciri yenilikçisi olarak kuruldu ve müşterilerinin kendilerine emanet ettiği hassas veri kadrosunu güvence altına almak için kendilerinin daha fazlasını yapmaları gerektiğini fark etti. Artan sayıdaki veri ihlali ve veri fidye saldırılarını analiz ederken, bir gerçek açıkça ortaya çıktı: tehdit aktörleri şifrelenmiş verileri tehlikeye atmıyor veya çalmıyor.
Bunlar, temel operasyonel faaliyetleri desteklemek için kullanılan şifrelenmemiş, düz metin verilerinin büyük miktarlarına lazer gibi odaklanmış durumdalar. En fazla hasarı verebilecekleri yer burası. Rehin tutulacak en iyi veri bu. Ele alınması gereken bu kritik veriydi. En aktif verilerimizi, veritabanı katmanında şifreleme şeklimizi geliştirmenin zamanı gelmişti.
SAFE’nin doğuşu bu şekilde oldu; önce bir çözüm olarak düşünüldü, sonra da ticari pazara sunuldu.
Elbette, zorluğun belirlenmesi kolaydı. Tüm kuruluşların korunması gereken hassas verileri vardır ve tüm kuruluşların temel operasyonlarını yürütmek için güvendikleri hassas verileri vardır. Bir sonraki aşama pratik bir çözüm oluşturmaktı.
Ataç GÜVENLİ tamamen şifrelenmiş, aranabilir veri şifrelemesini pratik bir gerçeklik haline getiren bir SaaS çözümüdür. Şifreleme, şifre çözme, kullanma, yeniden şifreleme sürecinin tamamı ve bu görevleri gerçekleştirmek için gereken kaynaklar artık gerekli değildir. Daha da önemlisi, SAFE milyonlarca kaydın şu anda neden tamamen veri hırsızlığına ve fidye saldırılarına maruz kaldığına dair bahaneyi ortadan kaldırır.
SAFE Aranabilir Şifreleme, genellikle Gizlilik Geliştirme Teknolojisi (PET) Platformu olarak anılır. Bir PET olarak SAFE, verilerin çekirdek veritabanı katmanında güvence altına alınma biçimini geliştirir. SAFE, diğer tüm şifreleme çözümlerinden farklıdır çünkü aşağıdaki özellikleri sağlar:
- Tam, AES 256 şifrelemesi veri sahibi ve veri tutucu anahtar kasalarını destekler – Bir tehdit aktörü her iki ayrı anahtarı da tehlikeye atmalıdır. O zaman bile verilere erişemezler.
- Patentli Ataç Parçalanmış Veri Depolama (SDS) – Herhangi bir veri AES 256 ile şifrelenmeden önce bile, karmaşık şifreleme, veriler parçalara ayrılır, tuzlanır ve karıştırılır. Bu, tüm bağlamı bozar ve entropi yaratır. Bir tehdit aktörünün her iki şifreleme anahtarını da tehlikeye attığını düşünün. Sonuçta elde ettikleri şey, mikro bir çapraz kesme parçalayıcıyı alıp içinden bir milyon belge geçirmek, parçalanmış parçaların üçte birini atmak, o üçte birini parçalanmış eski ansiklopedilerle değiştirmek, onu sallamak ve hasta, bunamış bir yapboz bulmacası gibi yere atmak gibidir. Mevcut teknolojiye göre, tüm bu parçaları yeniden birleştirmek yaklaşık 6.000 yıl sürecektir.
- Always Encrypted veri kümesi tam oluşturma, okuma, güncelleme, silme (CRUD) işlevselliğini destekler. – Doğal olarak, veriler kullanılmadığında, hareketsizdir ve hala tamamen şifrelenmiştir. Artık şifrelenmiş, şifrelenmemiş… Her zaman şifrelenmiştir.
- Hızlı şifreli bileşik arama (
- Sürekli Makine Öğrenimi ve Yapay Zeka Tehdit Algılama ve Yanıtlama (TDR) – SAFE Sıfır Güven’e dayanır, bu nedenle çözüm kullanıcı eğilimlerini izler ve öğrenir. Bant dışı herhangi bir etkinlik engellenir ve idari işlem gerektirir. Çözüm ayrıca SQL enjeksiyonlarını, veri bulanıklaştırmayı ve diğer tehdit aktörü eylemlerini de izler. Çözümün bir parçası olarak SAFE, bir İstemcinin SOC izleme hizmetini besleyebilecek çok sayıda telemetri üretir.
- Basit JSON API entegrasyonu. Biraz geliştirme var, ancak sonuç son kullanıcı için hiçbir kesinti olmaması ve her zaman erişilebilir, her zaman şifrelenmiş verilerden oluşan bir veri kümesidir.
- Uygulama Esnekliği – SAFE bir SaaS çözümüdür, ancak aynı zamanda hafif bir şirket içi çözüm olarak uygulanmak üzere tasarlanmıştır. Ayrıca, SAFE, üçüncü tarafın Müşteri adına hassas verileri koruduğu bir üçüncü taraf uygulamasına entegre edilebilir (insan kaynakları, bordro, bankacılık platformları, sağlık EMR ve PHR gibi dış kaynaklı uygulamalar, vb.). Hassas verilerinizi bir üçüncü taraf satıcıya dış kaynaklı olarak veriyorsanız, bu verileri nasıl şifrelediklerini sormanın zamanı gelmiştir. Bu satıcı ihlal edilirse ne olur? Verileriniz şifrelenmiş midir?
Bir yarışın içindeyiz, tehdit aktörlerinin kazandığı bir yarış. Daha iyi bir şifreleme motoru inşa etme zamanı. SAFE zamanı.
Günümüzün siber merkezli iş ortamında, aranabilir şifreleme ihtiyacı, Finansal Hizmetler, Sağlık, Bankacılık, Üretim, Hükümet, Eğitim, Kritik Altyapı, Perakende ve Araştırma gibi birçok sektörü ve kullanım örneğini kapsar. Verilerin daha GÜVENLİ olması gerekmeyen bir alan yoktur.
Bir SaaS çözümü olarak SAFE, son kullanıcılarda veya ağ mimarisinde herhangi bir kesinti olmaksızın 30 günden daha kısa sürede uygulanabilir. SAFE aranabilir şifreleme hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: kağıt klipsi.com/güvenli.
Not: Bu makale, Haziran 2022’den beri Paperclip’te Gelir Yöneticisi olarak görev yapan, siber güvenlik ve teknoloji alanında 20 yılı aşkın deneyime sahip, Satış ve Pazarlama girişimlerine liderlik eden Chad F. Walter tarafından uzmanca yazılmış ve katkıda bulunulmuştur.