Big Data: toegang beveiligen en verantwoordelijkheid nemen ISMS.online

Big Data: toegang beveiligen en verantwoordelijkheid nemen

Door Dan Raywood • 11 april 2023

Big Data is de afgelopen tien jaar een cruciale trend geweest in de IT, en naarmate er steeds meer gegevens worden gecreëerd, is de vraag voor bedrijven waar deze worden opgeslagen, wie er toegang toe heeft en hoe ze er toegang toe krijgen. Dan Raywood onderzoekt deze kwesties.

De afgelopen tien jaar is het concept van Big Data steeds gangbaarder geworden naarmate er meer gegevens worden gecreëerd en er technologieën nodig zijn om deze te analyseren en te verwerken.

Om de uitdagingen te bepalen, is het eerst belangrijk om te begrijpen waar Big Data vandaan komt. Volgens een witboek uit 2001 van Doug LaneyBig Data ontstaat door: Volume, in die zin dat het uit enorme hoeveelheden data bestaat; Snelheid, zoals deze in realtime wordt gecreëerd; en Variatie, aangezien er gestructureerde, semi-gestructureerde en ongestructureerde typen zijn.

Een blog van SAS wees verder op de volumetoename door organisaties die gegevens verzamelen uit verschillende bronnen, waaronder transacties, slimme (IoT) apparaten, industriële apparatuur, video's, afbeeldingen, audio, sociale media en meer. Bovendien heeft de hoeveelheid data die door deze bronnen wordt gecreëerd de snelheid vergroot, omdat “data met een ongekende snelheid bedrijven binnenstroomt en tijdig moet worden verwerkt.”

SAS wees ook op nog twee elementen: Variabiliteit, aangezien datastromen onvoorspelbaar zijn en bedrijven dagelijkse, seizoensgebonden en door gebeurtenissen veroorzaakte piekdatabelastingen moeten beheren; en Veracity, verwijzend naar gegevenskwaliteit. “Omdat data uit zoveel verschillende bronnen komen, is het moeilijk om data tussen systemen te koppelen, matchen, opschonen en transformeren.”

Daarom bestaat Big Data uit een groot aantal instanties, en hierdoor zijn er 'datameren' ontstaan die moeilijk te beheren blijken te zijn.

Eerder dit jaar woonde ik een conferentie bij in Londen waar een van de sprekers, Tim Ayling, VP EMEA data security specialisten bij Imperva, sprak over de uitdagingen van Big Data, waarbij hij beweerde dat we “niet genoeg tijd besteden aan het kijken naar data vanwege pure complexiteit” en vroeg het publiek of ze konden identificeren waar hun gegevens zich bevinden, wie er toegang toe heeft en hoe ze er toegang toe krijgen.

In een gesprek met ISMS na het evenement vroegen we hem waarom hij denkt dat het beheren en controleren van de toegang een grote uitdaging is voor bedrijven. Hij beweert dat de hoeveelheid gegevens een van de redenen voor het probleem is. Er is “voor mensen het besef gekomen dat data nu overal zijn, en er is zoveel van en een deel ervan weten we, een deel ervan zijn schaduwdata die overal kunnen zijn en die gewoon gecreëerd zijn zonder enig proces erachter.” Dit heeft geleid tot de grote verscheidenheid aan data waar bedrijven nu mee te maken hebben.

Hij beweert dat voordat Big Data de norm werd, data zich vaak in Oracle- of SQL-databases bevonden, maar nu is het gestructureerd en ongestructureerd en in databases waar bedrijven niet eens vanaf weten.

Aan de toegangskant gaat het erom dat meerdere belanghebbenden toegang hebben, en dat is waar de controle verloren gaat. Ayling is het daarmee eens en zegt dat mensen het zichzelf zo gemakkelijk mogelijk willen maken, en ondanks het bedrijfsbeleid zullen werknemers nog steeds consumententools gebruiken om bestanden over te dragen voor efficiëntie.

Rowenna Fielding, directeur van Miss IG Geek Ltd, zegt dat toegang tot 'Big Data' niet anders is dan toegangscontroles voor andere informatiemiddelen; het moet op basis van 'need-to-know' en met de minste privileges gebeuren.

“De uitdaging met de mode voor ‘data lakes’ is dat doeleinden vaak speculatief zijn, dat wil zeggen: ‘leid het allemaal door een algoritme en kijk of er iets nuttigs opduikt’, wat het moeilijk maakt om de toegang per doel te verifiëren en te beperken”, zegt ze .

“Idealiter zou een 'Big Data'-organisatie moeten beschikken over een team van ethisch bewuste en wetsbewuste data-analisten die met belanghebbenden kunnen samenwerken om onderzoeken om te zetten in dataquery's (en in staat zijn om te adviseren over beperkingen of vooroordelen binnen de set) in plaats van het verlenen van directe toegang, maar de proliferatie van cloudplatforms is ontworpen om datamining gemakkelijk en toegankelijk te maken, [en dit] weerhoudt organisaties ervan restrictieve controles op te leggen – of zelfs maar te overwegen.”

Een optie voor beheerde toegang zou een op rollen gebaseerd beleid kunnen zijn. Spectraal zegt dat dit kan helpen de toegang over de vele lagen van Big Data-pijplijnen te controleren. “Het principe van de minste privileges is een goed referentiepunt voor toegangscontrole door de toegang te beperken tot alleen de tools en gegevens die strikt noodzakelijk zijn om de taken van een gebruiker uit te voeren.”

Is het concept van ‘least privilege’, of zelfs Zero Trust, en ‘need-to-know’-toegang mogelijk? Ayling zegt dat het voor de hand liggende antwoord 'ja' is, omdat het betekent dat iedereen de juiste privileges heeft, "maar erover dromen en het doen zijn heel verschillende dingen."

De gemiddelde gebruiker krijgt toegang tot bestanden en applicaties, maar hoe vaak bellen ze de helpdesk of een beheerder en vertellen ze dat ze daar geen toegang meer toe nodig hebben? Ayling zegt: “We zijn allemaal op plaatsen geweest waar je een toegangsniveau nodig hebt voor iets voor een bepaalde taak, en het gemakkelijkste is om je wereldwijde toegang te geven, en je doet mee, en je hebt letterlijk alles, want dat is de makkelijk ding om te doen. Dat is helemaal niet ongebruikelijk.”

Wat betreft het controleren van de toegang tot Big Data zegt Fielding dat het “een vergissing is om te prescriptief te zijn over controlemethoden en -mechanismen, omdat er geen pasklaar antwoord bestaat.”

Ze zegt dat dezelfde principes van vertrouwelijkheid, integriteit en beschikbaarheid net zo goed van toepassing zijn op grootschalige, informeel gestructureerde gegevens als op spreadsheets, e-mails of laptops; het proces om erachter te komen wie wat, wanneer en waar nodig heeft, wordt echter ingewikkelder.

Toegangsbeheer is meer dan alleen weten wie toegang heeft en ervoor zorgen dat aanvallers uw netwerk niet binnendringen. Het gaat erom de toegang tot gegevens te beperken en ervoor te zorgen dat werknemers alleen informatie kunnen zien die relevant is voor hun werk. Dit is een cruciale factor in ISO 27001 bijlage A.9, en nu Big Data steeds duidelijker is geworden in de manier waarop de wereld werkt, moet het beperken van de toegang ertoe ook worden overwogen en moet dit onderdeel zijn van uw risicostrategie.

Big Data is een millenniumtrend in de algemene IT, en wij op het gebied van cyberbeveiliging hebben ons geconcentreerd op het analyseren ervan, het opslaan ervan en het toegankelijk maken ervan. Dat laatste punt is het meest cruciaal voor data- en informatiebeveiliging: toegangscontroles moeten zo snel mogelijk op Big Data worden ingesteld, aangezien het volume, de snelheid en de variëteit voortdurend toenemen, en je niet te laat wilt zijn om actie te ondernemen. .

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood