Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

The Future of Cloud Data Security: Doing More With DSPM

Geschrieben von Mike Thompson | Jun 19, 2024 1:21:50 PM

Da Unternehmen täglich riesige Datenmengen generieren, greifen sie zunehmend auf mehrere Cloud-Plattformen wie AWS, Azure und Google Cloud zurück, um wichtige Daten zu speichern und die Zusammenarbeit im gesamten Unternehmen zu ermöglichen. Diese Flexibilität ist jedoch mit Risiken verbunden.

Genau wie bei SaaS-Umgebungen sind in IaaS-Umgebungen Daten immer das größte Ziel, sodass Unternehmen sensible Daten jedes Mal perfekt schützen müssen. Ein Bedrohungsakteur jedoch muss zur selben Zeit nur ein einziges Mal richtig liegen.

Egal, wo sie gespeichert sind, Ihre Daten sind immer gefährdet – und sie sind es auch, wo der Schaden entsteht.

Standard-Sicherheitstools bieten zwar durchaus einen gewissen Schutz, reichen allerdings oft nicht aus, um sensible Informationen zu schützen. Native Lösungen sind in der Regel isoliert und zielen nur auf einen Teil der Infrastruktur ab, was zu nicht abgestimmten Sicherheitskontrollen führt.

Infrastruktur-Tools stellen eine hilfreiche Schutzschicht dar, ihnen mangelt es jedoch an Datenkontext, was es schwierig macht, zu erkennen, was gefährdet ist und wer die Akteure sind. Lösungen für passives Management der Datensicherheitslage (DSPM) auf der anderen Seite bieten einen begrenzten Kontext. So liefern sie statische Risikoanalysen, die helfen können, potenzielle Probleme zu erkennen, schützen Ihre sensiblen Daten aber nicht aktiv.

In diesem Beitrag zeigen wir Ihnen, auf welche Lücken Sie bei der Bewertung einer DSPM-Lösung achten müssen, warum IaaS-Automatisierung so unerlässlich ist und wie Sie Ihr Unternehmen auf die Zukunft von DSPM vorbereiten können.

Die Herausforderungen passiver DSPM-Lösungen

Passive DSPM-Tools ermitteln, wo Ihre sensiblen Daten gespeichert sind, bieten jedoch keine Maßnahmen zur Behebung von Problemen oder zur Verhinderung von Datenlecks. Stattdessen generieren sie eine Liste mit Tausenden von potenziellen Schwachstellen, ohne den nötigen Kontext, um zu erkennen, ob jemand eine Schwachstelle ausnutzt.

Die IT- und Sicherheitsteams müssen diese umfangreiche Liste dann auswerten und jede Datei, jedes Objekt sowie jede Datenbank einzeln prüfen, um zu ermitteln, was sofortige Aufmerksamkeit erfordert und wie die Probleme manuell behoben werden können. In der Welt des schnellen Cloud-Wachstums übersteigt dies schnell das, was mit manuellem Aufwand allein vernünftigerweise erreicht werden kann.

Beispielhafte Scans

Die meisten Anbieter von passivem DSPM verlassen sich auf die Klassifizierung von Stichproben. Für Datenbanken ist dies zwar gegebenenfalls geeignet – wenn Sie ein paar hundert oder tausend Zeilen gescannt haben, müssen Sie vielleicht nicht die nächsten Millionen Zeilen scannen, um die Daten zu verstehen – Objektspeicher und Elastic Block Storage sind allerdings eine ganz andere Herausforderung. Sensible Daten können sich überall befinden, und es ist wichtig, dass Sie einen vollständigen Überblick über diese Umgebungen haben.

Der Versuch, die Stichprobe in einen vollständigen Scan umzuwandeln, nimmt bei den meisten passiven DSPM-Lösungen Wochen oder sogar Monate in Anspruch, und ein mehrere Monate alter Scan wird die meisten Auditoren oder CISOs nicht zufrieden stellen.

Außerdem ist es riskant, eine kleine Gruppe von Objekten zu scannen und dann anhand dieser Informationen zu extrapolieren, was in den nächsten fünf Petabytes enthalten ist, denn wie wir bereits erwähnt haben, muss ein Angreifer nur ein einziges Mal richtig liegen.

Genaue Klassifizierung

Ein weiteres Merkmal, das Sie bei der Auswahl eines DSPM-Anbieters berücksichtigen sollten, ist die Genauigkeit. Positive und negative Falschmeldungen aussortieren zu müssen, kann frustrierend sein, weshalb die Leistung wichtig ist. Varonis klassifiziert Daten bereits seit den frühen 2000er Jahren, und unsere Methode des Musterabgleichs, regulärer Ausdrücke und fortgeschrittener Techniken wurde im Laufe der Zeit verfeinert, um Genauigkeit zu gewährleisten.

Während sich einige neuere Technologien ausschließlich auf maschinelles Lernen stützen, haben wir festgestellt, dass ML eine Blackbox sein kann, die ungenaue Ergebnisse liefert, sodass die Kunden am Ende ohne Möglichkeit dastehen, Probleme zu beheben. Maschinelles Lernen mag beim Umgang mit neuen Datentypen hilfreich sein, wenn es jedoch um vertrauliche Daten geht, ist ein besser bewährter Ansatz erforderlich.

Übergang vom passiven zum aktiven DSPM

Die Zukunft der Cloud-Datensicherheit liegt im proaktiven Handeln.

Aktive DSPM-Lösungen zeigen Risiken nicht nur auf: Sie ergreifen auch Maßnahmen, um sie zu beseitigen. Zu wissen, wo sich Ihre vertraulichen Daten befinden, ist zwar ein wichtiger erster Schritt, aber es ist wichtig, über eine bloße Bestandsaufnahme oder einen Katalog vertraulicher Daten hinauszugehen, um aktive Bedrohungen zu erkennen, Berechtigungen richtig zu dimensionieren und Sicherheitslücken automatisch zu beheben.

Nur durch den Einsatz von Automatisierung und die aktive Behebung von Problemen kann Ihre Cloud-Umgebung mit der Zeit sicherer werden.

Oft zögert man, Änderungen in IaaS zu automatisieren, weil man befürchtet, kritische Arbeitslasten zu unterbrechen. Viele Risiken können jedoch automatisch und mit geringen Auswirkungen auf das Unternehmen behoben werden. Indem Sie die Richtlinien automatisieren, erhalten Sie einen hohen Mehrwert in Sachen Sicherheit, und das ganz ohne Auswirkungen auf das Unternehmen.

Ein führendes Unternehmen im Bereich DSPM

Varonis geht über die bloße Identifizierung von Risiken hinaus und schützt sensible Daten aktiv. Unser Incident-Response-Team arbeitet rund um die Uhr direkt mit unseren Kunden zusammen, unser Forensik-Team führt Malware-Reversing und forensische Analysen durch, und unser Forschungsteam untersucht ständig neue Bedrohungen.

Dieses Wissen hilft uns bei der Beantwortung von Fragen wie „Gibt es ein Datenleck? Handelt es sich um einen Sicherheitsvorfall oder sind Daten betroffen?“ Darüber hinaus bietet unser MDDR-Service (Managed Data Detection and Response) ein branchenweit führendes SLA von 30 Minuten für Ransomware und von 120 Minuten für alle anderen Angriffe.

Der Begriff DSPM ist zwar relativ neu, Varonis praktiziert jedoch bereits seit seiner Gründung Data Security Posture Management. Kontaktieren Sie Ihren Varonis-Vertreter, um mehr über die Verbesserung Ihres DSPM zu erfahren, oder erleben Sie Varonis in Aktion, indem Sie eine 30-minütige Demo vereinbaren.