Dai database ombra e dalle autorizzazioni mal configurate alle password non protette e alle pipeline di formazione sull'AI, il cloud presenta numerosi percorsi di attacco ed esposizione.
Non sorprende, quindi, che oltre l'80% delle violazioni nel 2023 abbia incluso dati cloud.
La gestione della postura di sicurezza dei dati (DSPM, data security posture management) è emersa come standard per proteggere i dati sensibili nel cloud e in altri ambienti, prevenire i data breach e soddisfare i requisiti di conformità. Tuttavia, c'è confusione su cosa sia veramente (e non sia) la DSPM, perché sia importante, come funzioni e come valutare con successo una soluzione DSPM.
Abbiamo creato questo articolo del blog per aiutarti a comprendere meglio la DSPM e cosa significa proteggere i dati sensibili in ambienti cloud complessi. Continua a leggere per scoprire tutti i dettagli.
Che cos'è la DSPM?
Secondo Gartner, "La gestione della postura di sicurezza dei dati (DSPM) offre visibilità sulla collocazione dei dati sensibili, su chi ha accesso a tali dati, su come sono stati utilizzati e sulla postura di sicurezza del data store o dell'applicazione".
Sebbene l'acronimo DSPM sia nuovo, il concetto non lo è.
La DSPM parte dai principi della sicurezza dei dati e li applica principalmente agli ambienti cloud. Molti dei concetti usati per proteggere i dati in locale e nelle applicazioni sono gli stessi: ricerca dei dati, controllo dell'accesso ai dati e monitoraggio dei dati.
Un DSPM efficace scopre dove risiedono i dati sensibili nell'intero ambiente cloud, inclusi IaaS, database, applicazioni SaaS e storage di file nel cloud, analizza i rischi e le esposizioni e consente ai team cloud, IT e di sicurezza di rilevare in modo efficiente le minacce e colmare le lacune di sicurezza.
La gestione della postura di sicurezza nel cloud (CSPM, cloud security posture management) si concentra sulla protezione dell'infrastruttura e la prevenzione della perdita di dati (DLP, data loss prevention) si concentra sulla perdita di dati sensibili in movimento nei punti di uscita. La DSPM si incentra sulla protezione dei dati stessi e sul rafforzamento della postura di sicurezza al fine di prevenire le violazioni dei dati.
Perché la DSPM è importante?
Le organizzazioni continuano ad archiviare dati preziosi in ambienti cloud sempre più complessi.
Secondo Gartner, l'80% delle aziende avrà adottato diverse offerte IaaS di cloud pubblico entro il 2025. La flessibilità e la scalabilità offerte da questi ambienti cloud rendono anche più difficile proteggere i dati all'interno, con un conseguente aumento del rischio di data breach.
I principali data breach sono sempre più comuni in SaaS e IaaS.
Nel gennaio 2022, un bucket AWS S3 non protetto ha esposto più di un milione di file su Internet, inclusi i record dei dipendenti aeroportuali. In un altro esempio, centinaia di organizzazioni hanno fatto trapelare informazioni private e sensibili a causa di pagine Salesforce mal configurate. Inoltre, il recente data breach di Sisense ha esposto terabyte di dati a causa di un token hardcoded che ha consentito agli aggressori di accedere ai bucket Amazon S3.
Data breach di questo tipo sono difficili da prevenire in ambienti cloud tentacolari. La DSPM mira a proteggere i dati e prevenire le violazioni dei dati in IaaS, PaaS e SaaS. Se dotate delle funzionalità DSPM adeguate, le organizzazioni sono meglio preparate a prevenire le violazioni dei dati e a soddisfare i requisiti di conformità, come HIPAA, GDPR, CCPA, NIST e ITAR.
Come funziona la DSPM?
L'obiettivo finale della DSPM è prevenire i data breach e mantenere la conformità. A tale scopo, una DSPM efficace include due tipi di funzionalità: funzionalità passive e funzionalità attive.
Le funzionalità passive sono sempre attive e lavorano in background per fornire visibilità in tempo reale sui dati e sul loro livello di sicurezza. Includono la scoperta e la classificazione dei dati, l'analisi dell'esposizione e la postura.
Rilevamento e classificazione dei dati
Per proteggere i dati sensibili, occorre innanzitutto capire quali dati sensibili esistono e dove risiedono. La DSPM analizza e scopre automaticamente i dati sensibili nel tuo ambiente e li classifica in base alla loro sensibilità e al tipo, ad esempio se si tratta di credenziali, PHI, PII, HIPAA, ecc.
Tuttavia, non tutte le soluzioni di individuazione e classificazione dei dati sono uguali. Poiché gli ambienti cloud sono in continua evoluzione, occorre scansionare i dati continuamente e in tempo reale.
Il campionamento dei dati, specialmente negli archivi di oggetti come Amazon S3 e BLOB di Azure, non è sufficiente. A differenza di un database, non si può presumere che solo perché hai analizzato 2 TB di un account S3 e non hai trovato contenuti sensibili, gli altri 500 TB di dati non siano sensibili. Senza un'accurata scoperta e classificazione dei dati in tempo reale, l'organizzazione è esposta a rischi.
Analisi dell'esposizione e postura
Dopo aver individuato i dati sensibili e la loro collocazione, il passo successivo è capire le lacune di sicurezza e i rischi di esposizione. La DSPM analizza i dati e rileva vulnerabilità come configurazioni errate, autorizzazioni sovraesposte e responsabilità delle applicazioni di terze parti.
Per acquisire una comprensione approfondita dei rischi e delle esposizioni, i dati sensibili devono essere mappati alle autorizzazioni e all'attività di accesso su tutte le piattaforme, le applicazioni e fino al livello dell'oggetto. Senza questa profonda comprensione, la tua postura di sicurezza può facilmente risultare compromessa.
Le esposizioni e la postura devono anche essere mappate in considerazione dei quadri di conformità pertinenti, come CMMC, GDPR, HIPAA, ISO, NIST, PCI e SOX. Questo ti aiuta a mantenere la conformità e offre un punto di riferimento per la sicurezza complessiva dei tuoi dati.
Le funzionalità attive della DSPM consentono ai team IT e di sicurezza di colmare le lacune di sicurezza e mitigare l'esposizione per migliorare il livello di sicurezza. Anche se alcune soluzioni DSPM non offrono la remediation, questo è il "last mile" critico tra sapere semplicemente che i dati sono a rischio e proteggerli.
Remediation
Dopo aver individuato le lacune e i rischi nella sicurezza, la DSPM consente ai team cloud, IT e di sicurezza di risolvere tempestivamente la causa principale dei problemi.
Più tempo occorre per risolvere i problemi, eliminare autorizzazioni rischiose, configurazioni errate, utenti fantasma, collegamenti di condivisione, ecc., maggiore è il rischio di un data breach. Per violare un database non protetto o mal configurato sono sufficienti otto ore.
La correzione manuale di un singolo file configurato in modo errato può richiedere ore e i problemi possono accumularsi rapidamente. Per la maggior parte delle organizzazioni, la correzione automatizzata è necessaria per colmare le lacune di sicurezza, mantenere la conformità e creare un ambiente che diventi più resiliente nel tempo.
Una DSPM efficace combina funzionalità passive e attive.
La DSPM è autonoma?
La DSPM deve costituire una parte importante della tua strategia di sicurezza dei dati se la tua organizzazione opera principalmente nel cloud. Ma anche per le organizzazioni cloud-first, la DSPM è solo una parte di una strategia olistica per i dati.
La DSPM è una parte di un approccio olistico alla sicurezza dei dati.
Oltre a migliorare la postura di sicurezza dei dati con la DSPM, è importante rilevare gli attacchi attivi. Il rilevamento e la risposta alle minacce sono particolarmente importanti se operi in un settore preso di mira di frequente dagli aggressori, come quello sanitario, governativo, manifatturiero o finanziario.
Anche le funzionalità per il monitoraggio e le indagini degli eventi sono elementi importanti che vanno oltre la classificazione dei dati per consentire di comprendere in modo approfondito il flusso di dati sensibili: come sono stati creati, aggiornati, eliminati, caricati, scaricati e condivisi. In molti casi, come in quello delle minacce interne, del ransomware e delle minacce persistenti avanzate (APT), capire come vengono usati i dati è fondamentale per rilevare e prevenire un data breach.
Per la maggior parte delle organizzazioni è importante proteggere i dati ovunque risiedano, anche se si trovano principalmente nel cloud, inclusi copilot con AI on-premise, e-mail e altro. Tutti i luoghi in cui potrebbero essere presenti dati sensibili possono diventare vettori di attacco, anche se i dati sensibili si trovano principalmente nel cloud. I copilot di AI generativa, ad esempio, sono un modo sempre più facile per i malintenzionati di ottenere le credenziali.
DSPM a confronto con CSPM
A prima vista, DSPM e CSPM potrebbero sembrare simili. Sebbene entrambe le soluzioni siano progettate per proteggere la tua organizzazione dalle minacce informatiche, ciascuna adotta un approccio unico per raggiungere tale obiettivo.
La DSPM assicura che i dati sensibili siano protetti ovunque risiedano, mentre la CSPM è incentrata sulla protezione dell'infrastruttura cloud delle applicazioni aziendali critiche, adottando un approccio incentrato sulle vulnerabilità. La CSPM esegue la scansione e l'analisi dell'infrastruttura cloud per individuare configurazioni errate e altre lacune di sicurezza.
La CSPM eccelle nell'individuazione di vulnerabilità ed errori di configurazione dell'infrastruttura e della rete, come l'individuazione di un'istanza EC2 vulnerabile che esegue Windows senza patch con Log4j. La DSPM, d'altra parte, offre una comprensione granulare dei dati e della loro esposizione. Ad esempio, uno snapshot del database contenente dati sensibili dei pazienti viene esposto a un account di servizio con una password debole e questo lo rende un obiettivo primario per gli aggressori.
La CSPM non offre una visibilità dei dati all'interno. Attacchi come quello di un malintenzionato che trova una chiave API in un'istantanea orfana o l'uso del social engineering per accedere con credenziali legittime o un insider che copia dati sensibili su un account personale: tutte queste esposizioni non sarebbero rilevate utilizzando solo la CSPM. Sebbene la CSPM sia preziosa, l'unico modo infallibile per prevenire una violazione dei dati è sapere cosa sta succedendo con i dati stessi.
La Varonis Data Security Platform colma il divario tra i due concetti. Il nostro connettore universale per database è in grado di integrarsi con qualsiasi database connesso in rete per scoprire e classificare dati strutturati sensibili su larga scala, indipendentemente da dove risiedano.
DSPM a confronto con DLP
Le soluzioni DLP utilizzano un'ampia serie di diverse tecniche per proteggere i dati, come classificazione, crittografia, monitoraggio e applicazione delle policy, e si incentrano sugli endpoint o sul perimetro del cloud tramite punti di uscita controllati.
Mentre il DLP si incentra sulla prevenzione dell'uscita dei dati dall'ambiente, la DSPM si concentra sul miglioramento della postura di sicurezza dei dati, ovvero comprendere quali sono i dati sensibili, analizzare l'esposizione e i rischi e colmare le lacune di sicurezza.
La nostra Data Security Platform utilizza i framework DSPM e DLP insieme per migliorare la visibilità dei dati, la conformità, la postura e il rilevamento delle minacce.
Come valutare le soluzioni DSPM
C'è molto rumore nello spazio DSPM e può essere difficile distinguere una soluzione legittima da una che alla fine non produce risultati per la tua organizzazione.
La nostra Guida all'acquisto DSPM ti aiuta a comprendere meglio i diversi tipi di soluzioni DSPM, a evitare le insidie più comuni e include domande da porre ai fornitori per assicurarti di acquistare una soluzione di sicurezza dei dati che soddisfi i tuoi requisiti specifici.
All'interno della guida, i principali CISO raccomandano tre fasi di valutazione che rappresentano le migliori pratiche per valutare una soluzione DSPM:
1. Eseguire un proof of concept (POC).
"La mia regola d'oro quando valuto una nuova tecnologia è corroborare le affermazioni con un POC. I fornitori che si rifiutano di eseguire un POC dovrebbero farti riflettere. Prova a eseguire POC su sistemi di produzione o sandbox che imitano la scala del tuo ambiente di produzione. Per la DSPM, testa i risultati della classificazione dei dati per i falsi positivi."
2. Richiedi una valutazione del rischio a campione
"Chiedi di vedere un report sui rischi anonimo di un cliente reale, non una brochure di marketing. Questo può aiutarti a capire se il fornitore offre il livello di granularità e profondità che stai cercando. I rapporti campione possono aiutarti a stabilire
se un POC è utile."
3. Leggi le recensioni di clienti reali
"Fai attenzione a giudicare i fornitori in base ai premi e alle cartelle stampa, molti dei quali sono pay-to-play. Cerca recensioni DSPM convalidate da fonti attendibili come Gartner e Forrester. Chiedi di parlare direttamente con i clienti di riferimento. Assicurati che abbiano studi di caso dei clienti sul loro sito web. Non vorrai certo essere il loro primo cliente importante."
Non aspettare che si verifichi una violazione.
La DSPM deve essere presa in considerazione da qualsiasi organizzazione incentrata sul cloud che attribuisca priorità alla sicurezza dei dati ed è una parte importante di un approccio olistico alla sicurezza dei dati.
Comprendendo in che modo il rilevamento e la classificazione dei dati, l'analisi e la postura dell'esposizione e la remediation aiutano a prevenire le violazioni dei dati e a rispettare le normative sempre più rigorose, avrai un'idea adeguata sulle funzionalità DSPM più adatte alla tua azienda.
Varonis è leader nel mercato DSPM su Gartner Peer Insights ed è l'unica soluzione che corregge automaticamente i rischi, applica le policy e rileva le minacce in tempo reale.
Esplora altre informazioni sulla nostra piattaforma e prenota una demo di 30 minuti per scoprire di più.
