لقد كان الحفاظ على أمان البيانات مطلبًا مستمرًا لمتخصصي الأمان منذ أن بدأنا في معالجة كميات كبيرة من البيانات وتخزينها. بالنسبة لي ، كان ذلك خلال فترة عملي في المخابرات الإسرائيلية في أواخر التسعينيات. كان لدينا برامج تم نشرها في مناطق غير آمنة لم نكن نريد كشفها على الإطلاق. لكن لم يكن لدينا طريقة مضمونة لحمايتها.
المشكلة هي بغض النظر عن مدى تعقيد برنامج الأمان لديك ، فهناك عيب واحد بسيط لا يمكن التغلب عليه: لا يمكن استخدام البيانات وتأمينها في وقت واحد. لا يمكن تشفير البيانات الموجودة في الذاكرة واستخدامها في نفس الوقت بواسطة وحدة المعالجة المركزية.
هذا العيب مدمر لأنه ينطبق عليه الكل البرامج ، بما في ذلك جميع برامج الأمان. لا يمكن إخفاء مفاتيح تشفير البرامج ، على سبيل المثال. عند استخدامها ، يتم الكشف عن البيانات الموجودة في الذاكرة بنص عادي ، مما يترك “مفاتيح القلعة” مكشوفة وضعيفة. يمكن للمطلعين ، أو الجهات السيئة التي يمكنها الوصول ، ببساطة تفريغ الذاكرة والبحث عن البيانات والمفاتيح التي يحتاجون إليها.
بمجرد أن يكتسب أحد الممثلين السيئين أو المطلعين الضارين بيانات اعتماد للوصول إلى النظام ، فمن السهل اختراق هذا النظام. هذه الخروقات تحدث في كل وقت. تعرضت كل شركة كبرى لخرق تسبب فيه أو بدأه شخص مطلع ، بما في ذلك Facebook و Twitter و Google. في سبتمبر الماضي ، أكدت DoorDash حدوث خرق للبيانات من خلال بائع خارجي كشف معلومات ما يقرب من 5 ملايين عميل وعمال توصيل وتجار. في الشهر التالي ، تم الكشف عن معلومات الحساب الخاصة بـ 7.5 مليون مستخدم Adobe Creative Cloud بسبب قاعدة بيانات غير محمية عبر الإنترنت.
لقد واجهت هذا الموقف في OpenDNS في عام 2015. نظرًا لأن حلنا تضمن إنهاء TLS ، فقد احتفظنا بالمفاتيح الخاصة للعملاء. كانت هذه مخاطرة كبيرة للشركة. كنا نعلم أن OpenDNS لن يكون قادرًا على الاسترداد إذا فقدت مفاتيح العميل هذه بطريقة ما أو تم اختراقها. لقد أنفقنا الكثير من الوقت والمال في محاولة حل هذه المشكلة ، لكننا لم نستطع فعل ذلك تمامًا.
نظرًا لخطورة هذه المخاطر ، فقد تم تطوير طبقات من عمليات التشفير والأمان للتخفيف من ثغرة أمان البيانات قيد الاستخدام. لم ينجح أي منها. نظرًا لطبيعة Catch-22 لحماية البيانات قيد الاستخدام ، فمن غير المرجح أن يحدث ذلك على الإطلاق – دون مواجهة أداء غير مقبول.
الأجهزة تؤمن ما لا تستطيع البرامج
لقد عرف الخبراء الأكاديميون والصناعيون منذ فترة طويلة أن الحل العملي الجيد جدًا لأحجية استخدام البيانات الآمنة هو إنشاء بيئات تنفيذ وتخزين موثوقة متجذرة في أجهزة موثوقة. درس يان ميكاليفسكي ، زميلي في المخابرات الإسرائيلية والمؤسس المشارك في Anjuna ، هذا بعمق في رسالة الدكتوراه الأخيرة التي حصل عليها. العمل في ستانفورد. درس كيفية تحسين أداء وأمن التطبيقات التي تعمل في منطقة محصورة.
اتضح هناك هي يتم استخدام الحلول القائمة على الأجهزة بالفعل بنجاح اليوم. تحتوي الهواتف المحمولة وأجهزة كمبيوتر Apple المحمولة على هذه المرافق المتكاملة بشكل جيد بحيث لا يعرف المستخدمون حتى بوجودها. حتى وقت قريب ، لم يكن هناك حل لمعظم وحدات المعالجة المركزية (CPU) للخوادم انتشارًا والتي من شأنها أن تجعل ذلك قابلاً للتطبيق على مستوى المؤسسة.
توفر الجيوب أمانًا على مستوى الأجهزة
تغير ذلك في عام 2015 عندما قدمت إنتل Software Guard Extensions (SGX) – وهي مجموعة من رموز التعليمات على مستوى الجهاز المتعلقة بالأمان والمضمنة في وحدات المعالجة المركزية الجديدة الخاصة بها. اتبعت AMD بسرعة مجموعة تعليمات خاصة مماثلة لتقنية SEV الخاصة بها ، والمتوفرة في خط معالج Epyc. قام موفرو السحابة الرئيسيون ، بما في ذلك Azure و IBM Cloud ، بالاستفادة من هذه المعالجات داخل البنية التحتية الخاصة بهم ، مما يمهد الطريق لإنشاء بيئات تنفيذ موثوقة للحوسبة السرية في السحابة. أعلنت AWS عن حلها الخاص المسمى Nitro Enclaves.
في منطقة آمنة (تُعرف أيضًا باسم “بيئة تنفيذ موثوقة”) ، تعمل التطبيقات في بيئة معزولة عن المضيف. يتم عزل الذاكرة تمامًا عن أي شيء آخر على الجهاز ، بما في ذلك نظام التشغيل. يحدث فك التشفير الآن سريعًا – داخل وحدة المعالجة المركزية – والتي تتم مصادقتها نفسها من خلال عملية التصديق للتأكد من أنها حقيقية ومضمونة.
قم بتشغيل Secure Anywhere
إذا تمكنت الشركات من تبني هذه القدرات بنجاح ، فستكون الآثار كبيرة. ستكون الشركات قادرة على الحفاظ على الحماية الكاملة للبيانات والتحكم في بياناتها ، حتى في البيئات البعيدة أو غير الآمنة جسديًا ، مثل السحابة العامة أو عند العمل في البلدان الشمولية. ستسمح حقيقة أن البيانات الآمنة لا يمكن رؤيتها أو استخدامها خارج المنطقة المحصورة بالترشيد الهائل لبنى الأمن متعدد الطبقات. نظرًا لأنه لا يمكن للمطلعين على البنية التحتية رؤية البيانات ، يمكن القضاء على عمليات الأمان التي تحميها فعليًا – مما يؤدي إلى زيادة إنتاجية فرق الأمن السيبراني وتقليل مخاطر المسؤولية.
ومع ذلك ، لم نحقق النيرفانا بعد. إن الحصول على التطبيقات الحالية للعمل مع تقنيات الجيب المختلفة ليس بالأمر السهل. طورت كل شركة مصنعة لوحدة المعالجة المركزية مجموعة التعليمات الخاصة بها. وهذا يعني أنه بالنسبة للرقائق من AMD و Intel و ARM و Amazon Nitro ، سيكون هناك على الأقل أربع تقنيات مختلفة لتمكين الجيب وأربع مجموعات SDK مختلفة. ستحتاج التطبيقات الحالية إلى إعادة كتابتها وإعادة تجميعها أربع مرات – مرة واحدة لكل معمارية. ليس من المعقول توقع قيام المؤسسات بهذا النوع من أعمال التطوير ، ناهيك عن إجراء أنواع التغييرات على العمليات والعمليات التي ستكون مطلوبة أيضًا.
يعمل اتحاد الحوسبة السرية ، وهو مجموعة واسعة من مزودي الخدمات السحابية والبرامج ، على سد الفجوة التي من شأنها أن تمكن الشركات من بناء البنية التحتية الآمنة للبيانات التي تحتاج إليها والاستفادة منها لتحقيق أقصى قدر من الأمان وتقليل الاحتكاك التشغيلي. أساس الأجهزة موجود. تم إصلاح الخلل. مع القليل من الابتكار ، سنرى قريبًا ظهور حقبة جديدة من أمان البيانات الشامل. إنه قادم أسرع مما تعتقد.
مع 20 عامًا من الخبرة في بناء منتجات أمان المؤسسات ، شغل Ayal العديد من المناصب العليا في إدارة المنتجات ، بما في ذلك نائب الرئيس لإدارة المنتجات في SafeBreach ، وهي شركة ناشئة لأمن المؤسسات مدعومة من Sequoia. أدار أيال فريق إدارة منتجات Umbrella ، … عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
المزيد من الأفكار