كيف يغير التشفير القابل للبحث لعبة أمن البيانات

لقد كان التشفير القابل للبحث لغزا لفترة طويلة. تناقض لفظي. حلم بعيد المنال لمحترفي الأمن السيبراني في كل مكان.

تدرك المؤسسات أنه يجب عليها تشفير بياناتها الأكثر قيمة وحساسة لمنع سرقة البيانات وانتهاكها. كما أنهم يفهمون أن البيانات التنظيمية موجودة لاستخدامها. ليتم البحث عنها وعرضها وتعديلها للحفاظ على استمرارية الأعمال. لسوء الحظ، تعلم مهندسو أمن الشبكات والبيانات لدينا على مدى عقود أنه لا يمكنك البحث عن البيانات أو تحريرها أثناء وجودها في حالة مشفرة.

أفضل ما يمكنهم فعله هو تغليف تلك البيانات ذات النص العادي وغير المشفرة داخل شرنقة من الأجهزة والبرامج والسياسات والضوابط والحوكمة المعقدة. وكيف نجح ذلك حتى الآن؟ ما عليك سوى إلقاء نظرة على اختراق T-Mobile، واختراق United Healthcare، وUber، وVerizon، وKaiser Foundation Health Plan، وBank of America، وPrudential… والقائمة تطول. ظلت جميع البيانات التي تمت سرقتها خلال تلك الانتهاكات غير مشفرة لدعم العمليات اليومية.

من الآمن أن نستنتج أن الطريقة التي نؤمن بها تلك البيانات لا تعمل. ومن الأهمية بمكان أن نطور أفكارنا ونهجنا. لقد حان الوقت لتشفير جميع البيانات أثناء الراحة وأثناء النقل وأيضًا أثناء الاستخدام. إذًا، كيف يمكننا تشفير البيانات التي يجب استخدامها بشكل فعال؟

تحدي التشفير

وكما ذكرنا، فمن الثابت أن معظم البيانات لا يتم تشفيرها. ما عليك سوى إلقاء نظرة على معدل النمو المستمر والموثق جيدًا لنشاط الجرائم الإلكترونية. باختصار، جميع حالات اختراق البيانات وحالات فدية البيانات لها خيط مشترك صارخ واحد، وهو أن كل هدف يحتفظ بملايين السجلات الخاصة والحساسة والسرية في حالة غير مشفرة. مخازن البيانات مفهرسة بالكامل ومنظمة وغير مشفرة وسهلة القراءة كنص عادي وذلك ببساطة لدعم حالات الاستخدام التشغيلي. ويندرج هذا التحدي تحت رعاية “المخاطرة المقبولة”.

غالبًا ما يُنظر إلى أنه إذا كانت إحدى المؤسسات تتمتع بنظافة إلكترونية جيدة، فإن تلك المؤسسة تقوم بتشفير البيانات غير النشطة (المخزنة أو المؤرشفة أو المنسوخة احتياطيًا) وأثناء النقل أو الحركة (أي تشفير البريد الإلكتروني أو إرسال البيانات من نقطة إلى نقطة أخرى). وقد يعتقد الكثيرون أن هذا يكفي، أو أن هذا هو أفضل ما يمكنهم فعله. بعد كل شيء، يعد التشفير أثناء الراحة والحركة هو محور التشفير الوحيد لهيئات الامتثال والحوكمة الحالية، حيث تعالج تشفير قاعدة البيانات.

في الحقيقة، يفتقر معظم الامتثال إلى أي تعريف حقيقي لما يمكن اعتباره تشفيرًا قويًا لقاعدة البيانات. ولسوء الحظ، فإن العقلية السائدة لدى الكثيرين ما زالت تقول: “إذا لم يعالج الامتثال هذه المشكلة، فلا ينبغي أن يكون الأمر بهذه الأهمية، أليس كذلك؟”

دعونا فك هذا قليلا. لماذا لا نقوم بتشفير البيانات؟ يتمتع التشفير بسمعة طيبة لكونه معقدًا ومكلفًا وصعب الإدارة.

بمجرد النظر إلى التشفير التقليدي للبيانات غير النشطة (المحفوظات والبيانات الثابتة)، تتضمن حلول التشفير هذه عادةً “رفعًا وتحويلًا” كاملاً لقاعدة البيانات إلى حل التشفير غير النشط. يتطلب هذا التمرين غالبًا مهندس شبكة، ومسؤول قاعدة بيانات، وخرائط تفصيلية، و وقت.

بمجرد تشفيرها، وبافتراض استخدام التشفير طويل السلسلة مثل AES 256، تكون البيانات آمنة فقط إلى الحد الذي تكون هناك حاجة إليها. ستكون البيانات مطلوبة في النهاية لدعم وظيفة الأعمال، مثل خدمة العملاء والمبيعات والفواتير والخدمات المالية والرعاية الصحية والتدقيق و/أو عمليات التحديث العامة. عند هذه النقطة، يجب فك تشفير مجموعة البيانات المطلوبة بالكامل (سواء كانت قاعدة البيانات كاملة أو مقطعًا) ونقلها إلى مخزن البيانات كنص عادي معرض للخطر.

وهذا يجلب طبقة أخرى من التعقيد – خبرة مسؤول قواعد البيانات أو خبير قواعد البيانات، والوقت اللازم لفك التشفير، وإنشاء منطقة أمنية من الحلول المعقدة المصممة لمراقبة و”تأمين” مخزن البيانات ذات النص العادي. والآن تتطلب هذه المجموعة من الحلول المعقدة فريقًا متخصصًا من الخبراء الذين لديهم معرفة بكيفية عمل كل أداة من أدوات الأمان هذه. أضف إلى ذلك الحاجة إلى تصحيح وتحديث كل أداة من أدوات الأمان هذه فقط للحفاظ على فعاليتها، ونحن الآن نفهم سبب تعرض الكثير من البيانات للخطر يوميًا.

وبطبيعة الحال، بمجرد استخدام مجموعة البيانات، فمن المفترض أن يتم إعادتها إلى حالتها المشفرة. لذا، تبدأ دورة التعقيد (والنفقات) مرة أخرى.

وبسبب هذه الدورة من التعقيد، في العديد من المواقف، تظل هذه البيانات الحساسة في حالة ضعيفة وغير مشفرة تمامًا، لذا فهي متاحة دائمًا بسهولة. يتفق 100% من الجهات الفاعلة في مجال التهديد على أن البيانات غير المشفرة هي أفضل أنواع البيانات التي يمكنهم الوصول إليها بسهولة.

يركز هذا المثال على تشفير البيانات غير النشطة، ولكن من المهم ملاحظة أن البيانات المشفرة أثناء النقل تمر بمعظم العملية نفسها – فهي مشفرة فقط أثناء النقل ولكن يجب فك تشفيرها للاستخدام على طرفي المعاملة.

هناك نهج أفضل بكثير. واحد يتجاوز التشفير الأساسي. يجب أن تأخذ استراتيجية تشفير قاعدة البيانات الحديثة والأكثر اكتمالًا في الاعتبار تشفير بيانات قاعدة البيانات المهمة في ثلاث حالات: أثناء الراحة، وأثناء الحركة، والآن قيد الاستخدام. التشفير القابل للبحث، ويسمى أيضًا التشفير قيد الاستخدام، يحافظ على تلك البيانات مشفرة بالكامل بينما لا تزال قابلة للاستخدام. إزالة التعقيد والنفقات المتعلقة بدعم عملية التشفير القديمة وفك التشفير والاستخدام وإعادة التشفير.

دمج التقنيات لتحسين التشفير

فلماذا الآن أصبح التشفير القابل للبحث فجأة هو المعيار الذهبي في أمن البيانات الخاصة والحساسة والخاضعة للرقابة؟

وفقًا لشركة Gartner، “تمثل الحاجة إلى حماية سرية البيانات والحفاظ على فائدة البيانات مصدر قلق كبير لتحليلات البيانات وفرق الخصوصية التي تعمل مع كميات كبيرة من البيانات. وتعتبر القدرة على تشفير البيانات ومعالجتها بشكل آمن هي العامل الرئيسي الكأس المقدسة لحماية البيانات“.

في السابق، كانت إمكانية تشفير البيانات قيد الاستخدام تدور حول الوعد بالتشفير المتماثل (HE)، الذي يتميز بأداء بطيء للغاية، وهو مكلف حقًا، ويتطلب قدرًا فاحشًا من قوة المعالجة. ومع ذلك، باستخدام تقنية التشفير المتماثل القابل للبحث، يمكننا معالجة “البيانات قيد الاستخدام” بينما تظل مشفرة والحفاظ على أداء الاستعلام في الوقت الفعلي تقريبًا بالمللي ثانية.

وقالت جينيفر جلين، محللة IDC: “لقد أدى التحول الرقمي إلى جعل البيانات أكثر سهولة في النقل وقابلة للاستخدام من قبل كل جزء من الأعمال، مع تركها أيضًا أكثر عرضة للخطر. يوفر التشفير القابل للبحث طريقة قوية للحفاظ على البيانات آمنة وخاصة مع فتح قيمتها.”

وقال جلين: “أصبحت تقنيات مثل التشفير القابل للبحث بسرعة عنصرًا أساسيًا للمؤسسات للحفاظ على البيانات قابلة للاستخدام، مع ضمان سلامتها وأمانها”.

قامت شركة Paperclip، وهي شركة لإدارة البيانات عمرها أكثر من 30 عامًا، بإنشاء حل لتحقيق ما كان يُشار إليه سابقًا باسم “الكأس المقدسة لحماية البيانات”، أي تشفير البيانات المستخدمة. من خلال الاستفادة من تقنية التقطيع الحاصلة على براءة اختراع المستخدمة لتخزين البيانات والتشفير المتماثل القابل للبحث، تم إنشاء حل يزيل التعقيد وزمن الوصول والمخاطر الكامنة في استراتيجيات أمان البيانات والتشفير القديمة.

حل التشفير الآمن

من منطلق إدراكها أن الضرورة هي أم كل الاختراعات، أدركت شركة Paperclip، التي تأسست عام 1991 كمبتكرة لسلسلة توريد المحتوى، أنها بحاجة إلى بذل المزيد من الجهد لتأمين مجموعة البيانات الحساسة التي يثق بها عملاؤها. عند تحليل العدد المتزايد من خروقات البيانات وهجمات طلب فدية البيانات، أصبحت حقيقة واحدة واضحة تمامًا: الجهات الفاعلة في مجال التهديد لا تتنازل عن البيانات المشفرة أو تسرقها.

إنها تركز بالليزر على الكميات الهائلة من البيانات غير المشفرة والنص العادي المستخدمة لدعم الأنشطة التشغيلية الرئيسية. هذا هو المكان الذي يمكنهم فيه إحداث أكبر قدر من الضرر. هذه أفضل البيانات للاحتفاظ بها كرهينة. وكانت هذه البيانات الهامة التي تحتاج إلى معالجة. لقد حان الوقت لتطوير الطريقة التي قمنا بها بتشفير بياناتنا الأكثر نشاطًا، في طبقة قاعدة البيانات.

كان هذا هو نشأة SAFE، أولاً كحل ثم طرحها في السوق التجارية.

وبطبيعة الحال، كان تحديد التحدي سهلا. لدى جميع المؤسسات بيانات حساسة يجب حمايتها، ولدى جميع المؤسسات بيانات حساسة تعتمد عليها لتشغيل عملياتها الأساسية. وكانت المرحلة التالية هي بناء حل عملي.

مشبك الورق آمن هو أحد حلول SaaS التي تجعل تشفير البيانات المشفرة بالكامل والقابلة للبحث حقيقة عملية. لم تعد العملية الكاملة للتشفير وفك التشفير والاستخدام وإعادة التشفير – والموارد اللازمة لإنجاز هذه المهام – مطلوبة. والأهم من ذلك، أن SAFE يزيل العذر المتعلق بالسبب وراء ترك ملايين السجلات معرضة بالكامل لسرقة البيانات وهجمات الفدية في الوقت الحالي.

يُشار عادةً إلى التشفير الآمن القابل للبحث باسم منصة تقنية تعزيز الخصوصية (PET). باعتبارها PET، تعمل SAFE على تطوير طريقة تأمين البيانات في طبقة قاعدة البيانات الأساسية. يعد SAFE فريدًا من نوعه بالنسبة لجميع حلول التشفير الأخرى لأنه يوفر الميزات التالية:

• تشفير كامل AES 256 يدعم خزائن مفاتيح مالك البيانات وحامل البيانات – يجب على جهة التهديد اختراق كلا المفتاحين المتباينين. وحتى ذلك الحين لا يمكنهم الوصول إلى البيانات.
• تخزين البيانات المقطعة بمشبك ورق (SDS) الحاصل على براءة اختراع – حتى قبل تشفير أي بيانات باستخدام معيار AES 256، وهو تشفير معقد، يتم تقطيع البيانات إلى أجزاء، وتمليحها وتجزئتها. هذا يكسر كل السياق ويخلق الانتروبيا. تخيل أن جهة التهديد تضر بمفتاحي التشفير. ما ينتهي بهم الأمر هو مثل أخذ آلة تمزيق صغيرة، وتشغيل مليون وثيقة من خلالها، ورمي ثلث القطع الممزقة، واستبدال هذا الثلث بموسوعات قديمة ممزقة، ثم هزها وإلقائها على الأرض مثل البعض. اللغز المريض والمجنون. واستنادا إلى التكنولوجيا الحالية، سوف يستغرق الأمر حوالي 6000 سنة لإعادة تجميع كل تلك القطع.
• مجموعة بيانات مشفرة دائمًا تدعم وظائف الإنشاء والقراءة والتحديث والحذف الكاملة (CRUD). – بطبيعتها، عندما لا تكون البيانات قيد الاستخدام، تكون في حالة راحة، ولا تزال مشفرة بالكامل. لا مزيد من التشفير أو عدم التشفير… إنه مشفر دائمًا.
• بحث مركب مشفر سريع (أقل من 100 مللي ثانية عبر استعلام SQL قياسي). لن يدرك المستخدمون النهائيون حتى أن SAFE يعمل في الخلفية.
• التعلم الآلي المستمر والكشف عن تهديدات الذكاء الاصطناعي والاستجابة لها (TDR) – تعتمد SAFE على الثقة المعدومة، لذا سيراقب الحل اتجاهات المستخدم ويتعرف عليها. سيتم حظر أي نشاط خارج النطاق وسيتطلب اتخاذ إجراء إداري. يقوم الحل أيضًا بمراقبة عمليات حقن SQL وتشويش البيانات وإجراءات التهديد الأخرى. وكجزء من الحل، تنتج SAFE الكثير من أدوات القياس عن بعد التي يمكنها تغذية خدمة مراقبة SOC الخاصة بالعميل.
• تكامل بسيط لواجهة برمجة تطبيقات JSON. هناك بعض التطوير، ولكن النتيجة هي عدم حدوث أي تعطيل للمستخدم النهائي ومجموعة بيانات من البيانات المتوفرة دائمًا والمشفرة دائمًا.
• مرونة التنفيذ – SAFE هو أحد حلول SaaS، ولكنه تم تصميمه أيضًا ليتم تنفيذه كحل محلي خفيف الوزن. بالإضافة إلى ذلك، يمكن دمج SAFE ضمن تطبيق تابع لجهة خارجية حيث يحتفظ هذا الطرف الثالث ببيانات حساسة نيابة عن العميل (تطبيق خارجي مثل الموارد البشرية، وكشوف المرتبات، والمنصات المصرفية، والسجلات الطبية الإلكترونية والسجلات الطبية الإلكترونية للرعاية الصحية، وما إلى ذلك). إذا قمت بالاستعانة بمصادر خارجية لبياناتك الحساسة لمورد خارجي، فقد حان الوقت لسؤالهم عن كيفية تشفير تلك البيانات. ماذا يحدث إذا تم اختراق هذا البائع؟ هل بياناتك مشفرة؟

نحن في سباق يبدو أن الجهات التهديدية هي التي تفوز به. لقد حان الوقت لبناء محرك تشفير أفضل. حان الوقت للسلامة.

في مشهد الأعمال المتمحور حول الإنترنت اليوم، تمتد الحاجة إلى التشفير القابل للبحث إلى العديد من الصناعات وحالات الاستخدام مثل الخدمات المالية والرعاية الصحية والخدمات المصرفية والتصنيع والحكومة والتعليم والبنية التحتية الحيوية وتجارة التجزئة والأبحاث على سبيل المثال لا الحصر. لا توجد منطقة لا تحتاج فيها البيانات إلى أن تكون أكثر أمانًا.

يمكن تنفيذ SAFE كحل SaaS في أقل من 30 يومًا دون أي تعطيل للمستخدمين النهائيين أو بنية الشبكة. لمعرفة المزيد حول التشفير الآمن القابل للبحث، قم بزيارة Paperclip.com/safe.

ملحوظة: تمت كتابة هذه المقالة بخبرة وساهم بها تشاد إف والتر، كبير مسؤولي الإيرادات في شركة Paperclip منذ يونيو 2022، وهو يقود مبادرات المبيعات والتسويق، ويتمتع بخبرة تزيد عن 20 عامًا في مجال الأمن السيبراني والتكنولوجيا.