Dagens allt mer mobila arbetsstyrka har flyttat fler och fler slutanvändare, enheter, datorapplikationer och mycket känslig data bortom säkerheten för företagets brandvägg. När antalet bärbara datorer multipliceras över hela företaget, förändras utsikten till ett säkerhetsintrång genom en förlorad eller stulen enhet från en spekulativ risk till en virtuell oundviklighet. Sådana överträdelser kan nu mätas i dollartecken, vilket understryks av en studie från 2009 av Ponemon Institute, som uppskattade att en förlorad eller stulen bärbar dator kan kosta ett företag $200 för varje kundregister som lagras på enheten. En stor del av dessa kostnader härrör från påföljder som ålagts av "Notice of Breach"-lagar som antagits av 46 stater, District of Columbia och i hela Europa med EU:s dataskyddsdirektiv och dataskyddslagen i Storbritannien. Sådana lagar kräver ofta att ett företag offentligt rapportera säkerhetsintrång om det inte kan garantera att uppgifterna är säkra och inte kan missbrukas av obehöriga personer.
Dagens allt mer mobila arbetsstyrka har flyttat fler och fler slutanvändare, enheter, datorapplikationer och mycket känslig data bortom säkerheten för företagets brandvägg. När antalet bärbara datorer multipliceras över hela företaget, förändras utsikten till ett säkerhetsintrång genom en förlorad eller stulen enhet från en spekulativ risk till en virtuell oundviklighet. Sådana överträdelser kan nu mätas i dollartecken, vilket understryks av en studie från 2009 av Ponemon Institute, som uppskattade att en förlorad eller stulen bärbar dator kan kosta ett företag $200 för varje kundregister som lagras på enheten. En stor del av dessa kostnader härrör från påföljder som ålagts av "Notice of Breach"-lagar som antagits av 46 stater, District of Columbia och i hela Europa med EU:s dataskyddsdirektiv och dataskyddslagen i Storbritannien. Sådana lagar kräver ofta att ett företag offentligt rapportera säkerhetsintrång om det inte kan garantera att uppgifterna är säkra och inte kan missbrukas av obehöriga personer.
Följaktligen är de flesta företags IT-chefer nu överens om att full-disk kryptering (FDE) inte bara är avgörande för att säkra känslig data, det är avgörande för deras organisationers ekonomiska välbefinnande. Detta har lett till en mängd tredjeparts FDE-programvarulösningar som krypterar all data lagrad på en hårddisk, inklusive startbara operativsystempartitioner. Men även om mjukvarulösningar för FDE är ett steg i rätt riktning, har de sina brister. De krypterar till exempel inte huvudstartposten och lämnar därmed data till attacker som riktar sig mot en bärbar dators operativsystem. Dessutom, som alla tilläggsprogram, använder programvaran FDE på en dators minne och bearbetningsresurser, vilket leder till försämring av systemets övergripande prestanda.
Begränsningarna för mjukvarulösningar har fått fler och fler IT-chefer att gynna den överlägsna FDE som tillhandahålls av självkrypterande enheter (SED). En SED är som vilken vanlig hårddisk som helst, med en nyckelskillnad: Den bäddar in kryptering i själva enheten. Därmed skyddas data i det ögonblick de skrivs till enheten.
Seagate introducerade den första bärbara hårddisken med inbyggd kryptering 2007. Sedan dess har Trusted Computing Group (TCG) definierat en SED-standard kallad Opal som sedan har banat väg för ett brett utbud av Opal-baserade SED:er från ledande hårddisktillverkare som Seagate och Hitachi, flash-leverantörer som Micron och Samsung och externa diskleverantörer som CMS. PC-leverantörer som Dell, HP och Lenovo erbjuder dessa SED-enheter på en mängd olika system, för liten eller ingen extra kostnad. Gartner uppskattar att om fem år kommer alla enheter att vara hårdvarukrypterade.
Hur fungerar SED?
Hur SED:er fungerar är enkelt: De består av en sluten och oberoende arkitektur, de inkluderar sin egen processor, minne och RAM, och sätter mycket strikta gränser för koden som kan köras inom deras arkitektur. Kryptering och dekryptering av data sker i själva enhetens styrenhet, snarare än att förlita sig på datorns värd-CPU.
Varje SED reserverar ett litet block internt minne isolerat från resten av enheten. Dessa "skyddade partitioner" innehåller säkert krypteringsnycklar och användaruppgifter. När enheten är upplåst kommer data att flöda normalt in och ut ur enheten. Om du är en auktoriserad användare kan du komma åt data. Om du inte är det kommer enheten inte att ge åtkomst och data kan inte erhållas på något annat sätt, såsom traditionella mjukvarubaserade attacker via skadlig programvara och rootkits. All data på enheten är krypterad, hela tiden.
Eftersom krypteringsnyckeln skapas ombord på enheten under tillverkningen och aldrig lämnar enhetens skyddade hårdvarugräns, är den omöjlig att stjäla och den är immun mot traditionella mjukvaruattacker. Ingen programvara – skadlig eller på annat sätt – kan köras på maskinen förrän enheten är upplåst och operativsystemet har startat.
Den "inbakade" krypteringen av data ger också logistiska och kostnadsfördelar jämfört med mjukvarulösningar. Eftersom krypteringsnycklar aldrig lämnar hårddisken, behöver IT-personal inte lägga tid eller pengar på att hantera nycklar eller bygga nyckeldepositions- och säkerhetskopieringsprogram. Dessutom drar inte SED:er på en maskins minne eller bearbetningsresurser, vilket undviker den markanta försämringen som mjukvarulösningar ofta medför för systemets prestanda. En studie av Trusted Strategies LLC visade att en kommersiellt tillgänglig SED utfördes lika bra som en standarddisk och hanterade operationer med stora filer nästan dubbelt så snabbt som tre enheter utrustade med aktiva mjukvarubaserade krypteringsverktyg.
SED-distribution
SED:er är också extremt lätta att distribuera. I studien som citerades tidigare av Trusted Strategies tog krypteringsverktyg för programvara allt från 3½ till 24 timmar att helt kryptera en hårddisk. Däremot kan en företags IT-avdelning fasa in SED:er vid köp av varje ny maskin. Eftersom enheten är inbyggd och med kryptering på, krävs praktiskt taget ingen IT-overhead eller maskinstopp för att slå på dataskyddet.
Framväxten av molnplattformar har bara underlättat distributionen och hanteringen av SED:er. Idag kan små till medelstora företag nu utnyttja hanteringsverktyg som en gång var tillgängliga endast för stora organisationer med resurserna för att underhålla lokala lösningar. Sådana molnbaserade lösningar möjliggör diskinitiering, användarhantering, disklåsning och användaråterställning för alla SED:er. Ännu viktigare är att de förser IT med en centraliserad plattform för att införa SED-drivna säkerhetspolicyer, och därigenom säkerställa starkare datasäkerhet och efterlevnad av dataintrångslagar även om en bärbar dator försvinner.
Även om dagens arbetsstyrka fortsätter att expandera utanför företagets brandvägg, förblir IT-administratörernas grundläggande mål detsamma: Att säkerställa säkerheten för all data, användare, enheter och applikationer – från nätverkets centrala servrar hela vägen ut till alla utspridda slutpunkter . Att uppnå denna uppgift i full överensstämmelse med reglerna för meddelande om överträdelse kräver ett klassens bästa alternativ för centralt hanterad datakryptering.
SED: er är den enda fysiskt fristående FDE-lösningen som undviker försämring av systemets prestanda och möjliggör fjärrstyrd centraliserad hantering via captive server eller molnet. Enbart dessa egenskaper identifierar dem som den bästa FDE-lösningen som finns kommersiellt tillgänglig idag.
Se även - Topp 10 skäl att köpa SEDs
Om författaren
Lark Allen – Executive Vice President för affärsutveckling, Vågsystem
Mr. Allen är ansvarig för Waves affärs- och företagsutveckling, speciellt för att skapa strategiska teknikrelationer och utvärdera möjligheter som har potential att uppnå Waves strategiska mål. Dessutom övervakar Mr. Allen utvecklingen av en kärnuppsättning av marknader och strategier relaterade till säkerhetsprodukter, vilket främjar företagets konkurrenskraftiga positionering.
Mr. Allen spelar en aktiv roll i ett antal industristandardorganisationer, inklusive Trusted Computing Group där han är medlem i Storage Work Group, som bygger på befintlig TCG-teknik och fokuserar på att utveckla öppna standarder kring säker datalagring. Mr. Allen har mer än trettio års erfarenhet av IT-branschen från stora företag och har haft ledande befattningar inom försäljning, marknadsföring, utveckling och rådgivning. Innan han kom till Wave arbetade Mr. Allen i många år med IBM. Han tog examen från Brigham Young University med en BS i fysik och tog en MS i Industrial Administration från Purdue University.
