DCAP

Datenzentrische Sicherheit

Data-Centric Audit and Protection (DCAP)

Slide

Data-Centric Audit and Protection (DCAP)

Heute werden fast alle unternehmensrelevanten Prozesse über eine Vielzahl von Geschäftsanwendungen gesteuert. Die Applikationen verarbeiten, sammeln und speichern grosse Mengen an Daten. Entsprechend weisen viele dieser gespeicherten Daten entweder aufgrund gesetzlicher, regulatorischer oder unternehmensinterner Vorgaben einen besonderen Schutzbedarf auf. Hierzu wird als Startpunkt für die Bestimmung des Schutzbedarfs eine Daten-Klassifizierung benötigt. Damit erfolgt eine Gruppierung der Daten und eine Zuweisung zu definierten Risikowerten pro Kategorie.

Schutz der Daten in Applikationen

Heute können die eingesetzten Applikationen und deren Berechtigungskonzepte nicht den heutigen geforderten Anforderungen zum Schutz der gespeicherten Daten mithalten. Obwohl bereits moderne Applikationen ein Berechtigungsmodell (RBAC) beinhalten, ist eine feine granulare Steuerung bezogen auf “welcher Benutzer darf in welcher Rolle welche Daten sehen” nicht vorhanden. Das heisst, die Steuerung der Zugriffsrechte basiert primär auf den Berechtigungen der Applikation. Dadurch können die Benutzer eine Vielzahl an Funktionen ausführen und Daten einsehen. Aber dies Möglichkeiten sind für die Aufgabe nicht zwingend nötig (siehe auch “Need-to-know Prinzip). Genauso kritisch sind Export-Möglichkeiten von Daten aus der Applikation.

DCAP als Standard für die datenzentrische Sicherheit

Der von Gartner Group als Data-Centric Audit and Protection (DCAP) definierte Lösungsansatz setzt primär dort an, wo die Geschäftsprozesse einen breiten Zugriff auf Daten ermöglichen.

Dynamische Datenmaskierung bietet viele Möglichkeiten

Nebst einem Real Time Monitoring aller Zugriffe auf besonders schützenswerte Daten und einem Alarming von ungewöhnlichem Verhalten können die Daten aber auch direkt auf dem Weg von der Datenbank zum Benutzer dynamisch maskiert werden. Dies, ohne allerdings den Datensatz an der Quelle selbst zu verändern. Die echten Datenobjekte werden nur dann bereitgestellt, wenn dies aufgrund des Arbeitsprozesses oder bzw. für den Benutzer aufgrund seiner Funktion tatsächlich notwendig ist.

Die Lösung – Data-Centric Audit & Protection mit SecuPi

SecuPi100
Die All-in-One Suite DCAP – Lösung SecuPi

Mit SecuPi lässt sich der datenzentrische Lösungsansatzes einfach und effektiv umsetzen, so dass Daten in Applikationen, den Bereichen Datawarehouse und Big Data vor ungewünschtem Zugriff und Abfluss geschützt sind. Das heisst, Zugriffe auf besonders schützenswerte Daten werden protokolliert und bei ungewöhnlichen Verhalten unmittelbar alarmiert. Folglich ist die Nachvollziehbarkeit der Datenzugriffe von Benutzern in Applikationen gewährleistet (Records of Processing). Zusätzlich werden die Daten beim Abrufen oder Verschieben direkt dynamisch maskiert und bei Datenexporten verschlüsselt. Vielmehr spricht für diese Lösung, dass keine Anpassungen in den Applikationen (ausser Installation eines Agenten) und den Geschäftsprozessen nötig sind und trotzdem können die Anforderungen in Bezug auf Datenzugriff und möglicher Missbrauch vollumfänglich erfüllt werden.

Besuchen Sie die Website des Software Herstellers SecuPi

Die DCAP Disziplinen – SecuPi Funktionen

Datenklassifizierung und -entdeckung

Data Classification and Discovery
Zentral für die ganze Lösung ist die Identifikation der Datenobjekte mit besonderem Schutzbedarf. Entscheidend ist zu verstehen, welche Daten bei welchen Prozessen verwendet bzw. gespeichert werden. Hier stellt SecuPi verschiedene Möglichkeiten der Klassifizierung zur Verfügung. Die daraus resultierenden Informationen werden bei der Regelerstellung und dem Maskieren verwendet.

Verwaltung von Datensicherheits-richtlinien

Data Security Policy Management
Die umzusetzenden technischen Massnahmen auf Basis der Use Cases (Anwendungsfälle) werden in SecuP als Regeln abgebildet. Die Regeln setzten die Richtlinien in den Geschäftsprozessen bzw. in den Applikationen direkt durch. Durch die zentrale Verwaltung der Regeln können die Schwerpunkte zum Schutz von besonders schützenwerten Daten gezielt umgesetzt werden.

Überwachung von Benutzerprivilegien und Datenzugriffs-aktivitäten

Monitoring User Privileges and Data Access Activity
Selbst wenn vorhandene Applikationen ein Rollenmodell für Berechtigungen und Zugriffe bereitstellen, können mit SecuPi detailliertere Governance Vorgaben umgesetzt und sichergestellt werden, welche über die bestehenden Möglichkeiten der Applikationen hinausgehen. D.h., Datenströme besonders schützenswerten Daten können im Tagesgeschäft individuell je Benutzer/Benutzergruppen spezifisch aufgrund dieser Vorgaben gesteuert werden. Somit können Zugriffe auf Daten aufgrund unbekannter Rollen und ungewöhnlichen Zugriffen Alarme auslösen. (s. Funktion Alerting).

Auditierung und Berichterstattung

Auditing & Reporting
Für die Nachvollziehbarkeit, welcher Benutzer wann auf welche schützenswerten Daten zugegriffen hat, stellt SecuPi verschiedene Funktionen zur Verfügung. Nebst dem Bericht für Records of Processing können weitere Berichte und Zugriffs-Analysen aufgerufen werden. Auf dieser Basis sind Berichterstattungen rund um interne und externe Audits oder aufgrund Auskunftsbegehren jederzeit möglich.

Verhaltensanalyse, Alarmierung und Blockierung

Behavior Analysis, Alerting and Blocking
SecuPi ermöglicht die Aufzeichnung der Verhaltensmuster (Behavior Analytics) von Applikations-Benutzern während der Zugriffe auf schützenswerte Daten über einen längeren Betrachtungszeitraum. Auf Basis von Use Cases werden diese Verhaltensmuster gegenüber der Norm abgeglichen und bei Abweichungen als Alarm protokolliert. Die Alarme können durch Fachspezialisten geprüft und je nach Situation weitere Massnahmen ausgelöst werden. Zusätzlich besteht die Möglichkeit, direkt in den Arbeitsprozess einzugreifen und z.B. die aktuelle Benutzer-Verbindung zu kappen oder den Zugriff auf die Daten zu verweigern.

Schutz der Daten

Data Protection
Die eigentlichen Datenobjekte, wie z.B. Personendaten werden mittels verschiedener Möglichkeiten dynamisch verschlüsselt. Verschlüsseln bedeutet in diesem Zusammenhang, dass die Daten auf dem Weg von der Datenbank zum Bildschirm «verborgen», «anonymisiert» oder «pseudonymisiert» werden (Encryption in Motion), so dass die effektiven Daten für einen Benutzer nicht ersichtlich sind. Die Daten bleiben an der Quelle (z.B. Datenbank) aber in der Ursprungsform unverändert. Damit können unerwünschte Zugriffe auf Daten gezielt verhindert werden. Dies garantiert, dass die Prinzipien «Need-to-Know» und «Least Privileges», sowie das Recht auf Vergessen optimal umgesetzt werden. Sind für einzelne Datenobjekte höhere Sicherheitsvorgaben umzusetzen, können diese Attribute (Spalte, Feld) direkt an der Quelle (z.B. Datenbank) verschlüsselt werden (Encryption at Rest). Werden direkt aus der Applikation Exporte (z.B. als CSV-File) ausgelöst, werden die Daten bei einer dynamischen Maskierung auch maskiert exportiert.

Das Security Event & Incident Management

Security Monitor Center (SMC)

shutterstock_SIEM_Klein
Suite für die zentrale Steuerung

Sämtliche Alarme (Alerts) werden im Security Monitor Center (SMC) erstellt. Anschliessend werden diese als Event oder Incident zur Analyse, Bewertung und zum Auslösen allfälliger Schutzmassnahmen bereitgestellt.

Die unterschiedlichen Aufgaben sind im SMC enthalten: zum Beispiel das das Zuteilen von Tickets an Personen (z.B. Security Operations Center), dem Auslösen von Benachrichtigungs-Mails mittels standardisierter Templates, dem Kommentieren von Vorfällen und dem automatisierten Bearbeiten von Tickets.

Zusätzlich dient das SMC als Reporting-Plattform.

Die Architektur

Data-Centric Audit and Protection (DCAP)

DCAP_A

DCAP kann in bestehenden IT-Infrastrukturen beim Kunden oder auf virtuellen Servern bis zu Cloud-basierten Lösungen integriert werden.

Die Technologien – Unsere Service Bausteine für DCAP

DCAP Management Applikation (Konsole)

Management System für das Real Time Monitoring, Alerting & dem Schutz der Daten mittels Dynamischen Maskieren (Pseudonymisierung, Anonymisierung).

Security Monitor Center und Security Event & Incident Management

Management Konsole für die Prozess und Service-Orchestrierung über das zentrale Security Monitor Center.

Haben Sie auch

Unstrukturierte Daten

in Dateien auf Ablagen wie Shares, Sharepoint etc.? Besuchen Sie unsere Lösung Unstructured Data Management.

Die auf dieser Seite abgebildeten Software-Produkte Logos sind Eigentum der jeweiligen Hersteller: Microsoft Corp. Inc, Oracle Inc, Phyton Software Foundation, Linux Family, splunk Inc., SecuPi Inc., Docker, Kubernetes Inc. Alle Inhalte sind daher Urheberrechtlich geschützt. Alle Rechte vorbehalten!