数据检测和响应 (DDR) 用于主动数据安全态势管理
企业必须保护其数据免受网络攻击,主要有三个原因:
1. 公司有法律义务保证客户信息的安全;
2. 不这样做会损害公司的声誉;
3. 补救数据泄露的影响可能代价高昂,而且往往会扰乱运营。
根据Gartner的数据,50% 的安全警报将由自动化安全解决方案处理,例如数据检测和响应 (DDR) 工具。这表明自动检测和响应能力在对抗网络威胁方面的重要性日益增加。
您的组织是否试图保持强大的网络安全态势?考虑将 DDR 纳入组织的数据安全态势管理 (DSPM)策略中。
在本数据检测和响应指南中,我们将解释它是什么、它如何工作以及它如何保证您的数据安全。
什么是数据检测和响应 (DDR)?
在数据安全实现自动化之前,企业通常会在事后发现数据泄露。然而,通过主动数据安全措施,我们可以利用自动化技术在威胁信号升级为攻击之前发现它们。
DDR 就是这样一种解决方案。与传统安全工具不同,DDR 提供持续的数据丢失防护 (DLP)和对威胁的自动响应机制。
它还会不断寻找恶意或不安全数据活动的信号,从源头监控敏感数据。如果发现潜在风险,它会向您的安全团队发出警报。为了遏制威胁,它可能会阻止对某些资源的访问、隔离受影响的设备或完全关闭受影响的系统。
为了保护您的数据,DDR 可以:
● 实时监控您的数据和用户活动,以分析事件并在任何风险成为威胁之前标记它。
● 如果检测到任何敏感数据被移动或复制,则会提醒您。
● 使用基于常规用户行为的上下文信息来确定数据活动的威胁级别的优先级,并在必要时向安全团队标记问题。
● 执行数据保护监管标准以及组织的数据治理政策。
云安全态势管理中的 DDR
传统 DLP 无法应对云数据安全。传统数据保护系统使用防火墙等工具保护周边安全。不幸的是,这些传统 DLP 技术无法有效配合云服务。
与本地相比,SaaS 和 IaaS 环境中的数据格局、流程和访问模型有很大不同。多云环境还可能看到跨不同云服务和提供商的数据活动和移动。
传统的 DLP 可能难以在这样的环境中跟踪数据。
另一个问题是业务扩展。云提供的最大优势之一是您可以非常轻松地在云中扩展业务。但不幸的是,传统的 DLP 工具可能无法轻松处理这种不断增长的数据量。
简而言之,这些解决方案缺乏保护云(尤其是多云)环境中的数据所需的可见性、可扩展性和灵活性。
另一方面,DDR 是专为云环境设计的 DLP。它可以监控不同位置的数据。与基于边界防御的解决方案不同,它可以相当容易地适应不断增加的数据量。
此外,它会立即提醒您任何可疑的数据移动,包括移动或复制数据的尝试。
DDR 如何工作?
数据检测和响应解决方案有四个组件:
监控、检测、警报、回复。
监控
此组件使用活动日志不断监视数据环境中的所有活动。为了提高成本效益,您可以自定义它以仅监视您归类为敏感的数据类型。
检测
任何可疑的数据活动或异常访问都可能对您的数据构成潜在威胁。检测组件使用行为分析和机器学习来实时识别它们。DDR 解决方案可能会检测:
● 从不寻常的位置或 IP 地址访问数据
● 下载、复制或移动大量敏感数据
● 停用敏感数据记录系统
● 组织外部人员正在下载敏感数据
● 敏感数据首次被他人访问
警报
当 DDR 系统检测到任何异常数据访问时,它会通知安全团队。
这些工具只会标记与敏感数据相关的事件,以避免向团队发送不重要的警告,防止警报疲劳(一种由于警报太多而导致人们不再关注警报的现象)。
回复
对于某些事件,DDR 工具可以执行自动缓解程序,无需任何人工输入。这种即时事件响应可以防止潜在的安全漏洞并保护敏感数据,而无需人工干预。
您的数据为何面临风险?
数据是企业最宝贵的资产。
商业数据通常包括专有或商业敏感信息和知识产权。您还可能拥有客户的个人身份信息 (PII) 或受保护的健康信息。必须保护这些信息免受未经授权的访问。
然而,有几个因素会使这些信息面临风险:
人为错误
威胁并非总是恶意攻击者窃取您的业务数据。数据管理不善可能是人为错误造成的。
员工可能会无意中删除敏感信息。他们可能会以不安全的方式处理敏感信息,从而可能将其泄露给不需要看到的人。
当然,威胁者也会利用这些判断失误来为自己谋利。他们可能会利用弱密码或使用网络钓鱼技术来访问您组织的数据。
当墙内人员的行为造成数据威胁时,周边防御只能起到一定的作用。
影子数据
并非所有业务数据都已组织和映射。其中一些数据(称为影子数据)处于阴影之中。
这是未经正确分类、分级和存储的非结构化数据。
一旦需要这些数据的项目完成,这些数据就会留在云中,不会被删除或存档。
这也是员工为了方便而通过未经授权的云应用程序存储或共享的数据。
简而言之,这些数据属于您,但您不知道它们存在或不知道它们位于何处。由于这些数据不受监管,因此存在风险。
碎片数据
如果您的企业使用多个云服务,您的数据很可能分布在所有云服务上。不幸的是,在这种情况下,您将面临多变的安全和管理实践以及不一致的数据保护。
当信息不断移动时,如何实施统一的安全策略?
传统的 DLP 无法应对这三个风险因素。它无法监控员工活动或关注云端数据。
这正是 DDR 发挥作用的地方。
DDR 的优势
我们知道 DDR 的作用和工作原理。我们还知道您的业务数据面临的风险是传统 DLP 解决方案无法解决的。现在,让我们看看 DDR 如何保护您和您的数据的安全。
主动而非被动的威胁检测
使用 DDR,您无需等待事件发生后再尝试补救。这些解决方案会不断扫描任何可能成为威胁的事物。这些解决方案不会尝试对安全事件做出反应,而是在漏洞发生之前发出警告。
源头数据监控
传统数据保护系统认为,如果没有强行入侵的迹象,数据就是安全的。而 DDR 则会监视不同环境中的数据存储、仓库和数据湖,以监控所有活动。
如果检测到任何异常情况,包括数据被移动,它会向安全团队报告。或者,它可能会采取预先确定的措施来阻止滥用或潜在的数据泄露。
优化数据分类
所有数据都不是同样敏感或重要的。因此,您不会平等地保护所有数据,因为这样做效率低下。要确定哪些数据需要更多保护,您首先需要对其进行分类。
DDR 可帮助您发现数据,找到其所在位置,并根据内容和上下文对其进行优先排序,以便您可以将保护级别与其敏感性和重要性相匹配。
更快的数据泄露预防
数据泄露(或信息窃取)是一个巨大的数据安全威胁。虽然传统的 DLP 工具可以防止恶意软件窃取数据,但 DDR 可以警告您未经授权的数据传输,或者当有人手动复制或移动信息时。这可以帮助您在数据泄露发生时将其捕获,以便您可以采取措施阻止它。
有效调查
如果确实发生了安全事件,DDR 可让您更好地了解哪些内容受到了损害以及将如何影响您。它可以帮助您更有效地进行调查和补救。
降低成本并最大程度减少警报疲劳
传统 DLP 解决方案不可避免地会产生冗余警报和误报,从而导致警报疲劳。
而 DDR 工具则可以全天候监控您的数据,不会失去重点。它的成本也低于雇用人员。而且,它只会标记需要人工干预的问题。
降低违法风险
数据保护法规要求您采取充分的检查措施来保护敏感的客户数据。不遵守这些法规可能会导致各管理机构的罚款。
使用 DDR 解决方案可以证明您正在采取适当的措施来保护数据安全。此外,它们会在发生任何违规行为时立即标记,从而降低您的业务风险。