Von Schattendatenbanken und falsch konfigurierten Berechtigungen bis hin zu ungesicherten Passwörtern und KI-Trainings-Pipelines: Die Cloud bietet zahlreiche Angriffs- und Exposure-Möglichkeiten.
Es überrascht daher nicht, dass mehr als 80 % der Datenlecks im Jahr 2023 Cloud-Daten betrafen.
Data Security Posture Management (DSPM) hat sich als Standard für den Schutz vertraulicher Daten in der Cloud und anderen Umgebungen mit vertraulichen Daten, zur Verhinderung von Datenlecks sowie zur Erfüllung von Compliance-Anforderungen etabliert. Es herrscht allerdings Verwirrung darüber, was DSPM wirklich ist (und was nicht), warum es wichtig ist, wie es funktioniert und wie eine DSPM-Lösung erfolgreich evaluiert werden kann.
Wir haben diesen Blogbeitrag verfasst, um Ihnen ein besseres Verständnis von DSPM zu vermitteln und aufzuzeigen, was es bedeutet, sensible Daten in komplexen Cloud-Umgebungen zu schützen. Lesen Sie weiter, um alle Einzelheiten zu erfahren.
Laut Gartner bietet „Data Security Posture Management (DSPM) Transparenz darüber, wo sich sensible Daten befinden, wer Zugriff darauf hat, wie sie verwendet wurden und wie die Sicherheitslage des Datenspeichers oder der Anwendung ist.“
Das Akronym DSPM ist zwar neu, das Konzept selbst jedoch nicht.
DSPM übernimmt die Prinzipien der Datensicherheit und wendet sie hauptsächlich auf Cloud-Umgebungen an. Viele der Konzepte, die zur Sicherung von Daten vor Ort und in Anwendungen verwendet werden, sind die gleichen: Datenerkennung, Datenzugriffskontrolle und Datenüberwachung.
Ein effektives DSPM ermittelt, wo in Ihrer gesamten Cloud-Umgebung – einschließlich IaaS, Datenbanken, SaaS-Anwendungen und Cloud-Dateispeicher – sich sensible Daten befinden, analysiert die Risiken und Risiken und ermöglicht es Cloud-, IT- und Sicherheitsteams, Bedrohungen effizient zu erkennen und Sicherheitslücken zu schließen.
Der Fokus des Cloud Security Posture Management (CSPM) liegt auf der Sicherung der Infrastruktur, während sich Data Loss Prevention (DLP) auf den Verlust sensibler Daten an den Senken konzentriert. DSPM wiederum ist auf den Schutz der Daten selbst ausgerichtet, sowie auf die Stärkung der Sicherheitsposition, um Datenlecks zu verhindern.
Unternehmen speichern weiterhin wertvolle Daten in immer komplexeren Cloud-Umgebungen.
Laut Gartner werden 80 % der Unternehmen bis 2025 mehrere Public-Cloud-IaaS-Angebote eingeführt haben. Die Flexibilität und Skalierbarkeit, die diese Cloud-Umgebungen bieten, machen es auch schwieriger, die darin enthaltenen Daten zu sichern – was zu einem höheren Risiko für Datenlecks führt.
Größere Datenlecks treten bei SaaS und IaaS immer häufiger auf.
Im Januar 2022 wurden durch einen ungesicherten AWS S3-Bucket mehr als eine Million Dateien im Internet veröffentlicht, darunter auch Daten von Flughafenmitarbeitern. Ein weiteres Beispiel war die Veröffentlichung privater und sensibler Daten von Hunderten von Unternehmen aufgrund falsch konfigurierter Salesforce-Seiten. Das jüngste Datenleck bei Sisense wiederum führte zur Preisgabe von Terabytes an Daten aufgrund eines hart kodierten Tokens, das Angreifern Zugriff auf Amazon S3-Buckets gab.
Datenlecks wie diese sind in weitläufigen Cloud-Umgebungen nur schwer zu verhindern. DSPM zielt darauf ab, Daten zu sichern und Datenlecks über IaaS, PaaS und SaaS zu verhindern. Wenn Unternehmen mit den richtigen DSPM-Funktionen ausgestattet sind, sind sie besser darauf vorbereitet, Datenlecks zu verhindern und Compliance-Anforderungen wie HIPAA, die DSGVO, CCPA, NIST und ITAR zu erfüllen.
Das Ziel von DSPM ist es, Datenlecks zu verhindern und die Compliance zu gewährleisten. Um dies zu erreichen, umfasst ein effektives DSPM zwei Arten von Funktionen: passive und aktive.
Die passiven Funktionen sind immer aktiv und arbeiten im Hintergrund, um Echtzeiteinblicke in die Daten und ihre Sicherheitslage zu ermöglichen. Dies umfasst die Datenermittlung und -klassifizierung sowie die Analyse der Exposure und Sicherheitslage.
Um sensible Daten zu schützen, heißt es zunächst zu verstehen, welche sensiblen Daten existieren und wo sie sich befinden. DSPM scannt und erkennt sensible Daten automatisch in Ihrer Umgebung und klassifiziert sie nach Vertraulichkeit und Typ, z. B., ob es sich um Anmeldeinformationen, PHI, PII, HIPAA usw. handelt.
Allerdings sind nicht alle Lösungen zur Datenerkennung und -klassifizierung gleich. Da sich Cloud-Umgebungen ständig ändern, müssen Daten kontinuierlich und in Echtzeit gescannt werden.
Das Sampling der Daten, insbesondere in Objektspeichern wie Amazon S3 und Azure Blob, ist unzureichend. Anders als bei einer Datenbank können Sie nicht davon ausgehen, dass, nur weil Sie 2 TB eines S3-Kontos gescannt und keine sensiblen Inhalte gefunden haben, die anderen 500 TB an Daten nicht sensibel sind. Ohne gründliche Datenerfassung und -klassifizierung in Echtzeit ist das Unternehmen einem Risiko ausgesetzt.
Sobald Sie wissen, welche sensiblen Daten vorhanden sind und wo sie sich befinden, besteht der nächste Schritt darin, zu verstehen, wo Sicherheitslücken und Exposure-Risiken bestehen. DSPM analysiert die Daten und erkennt Schwachstellen wie Fehlkonfigurationen, übermäßige Zugriffsberechtigungen und Haftung für Anwendungen Dritter.
Um ein umfassendes Verständnis der Risiken und Gefährdungen zu erlangen, müssen vertrauliche Daten plattformübergreifend, anwendungsübergreifend und bis hinunter auf die Objektebene den Berechtigungen und Zugriffsaktivitäten zugeordnet werden. Ohne dieses umfassende Verständnis kann Ihre Sicherheitslage leicht gefährdet werden.
Exposure und Sicherheitslage sollten auch mit den relevanten Compliance-Frameworks wie CMMC, DSGVO, HIPAA, ISO, NIST, PCI und SOX abgeglichen werden. Dies hilft Ihnen, die Vorschriften einzuhalten, und bietet einen Maßstab für die allgemeine Sicherheit Ihrer Daten.
Die aktiven Funktionen von DSPM ermöglichen es IT- und Sicherheitsteams, Sicherheitslücken zu schließen und Risiken zu minimieren, um die Sicherheitslage zu verbessern. Einige DSPM-Lösungen bieten zwar keine Abhilfemaßnahmen an, aber dies ist die entscheidende letzte Meile zwischen dem Wissen, dass Ihre Daten gefährdet sind, und der Sicherung dieser Daten.
Wenn Sicherheitslücken und Exposure einmal identifiziert wurden, ermöglicht DSPM den Cloud-, IT- und Sicherheitsteams die rasche Behebung der grundlegenden Probleme.
Je länger es dauert, Probleme zu beheben – indem riskante Zugriffsberechtigungen, Fehlkonfigurationen, Geisterkonten, Freigabelinks usw. beseitigt werden – desto größer ist das Risiko eines Datenlecks. Es dauert nur acht Stunden, um in eine ungesicherte oder falsch konfigurierte Datenbank einzudringen.
Die manuelle Korrektur einer einzigen falsch konfigurierten Datei kann Stunden dauern und die Probleme können sich schnell häufen. Für die meisten Unternehmen ist eine automatisierte Sanierung erforderlich, um Sicherheitslücken zu schließen, die Einhaltung von Vorschriften zu gewährleisten und eine Umgebung zu schaffen, die mit der Zeit widerstandsfähiger wird.
Effektives DSPM kombiniert passive und aktive Funktionen.
DSPM sollte ein wichtiger Teil Ihrer Datensicherheitsstrategie sein, wenn sich Ihr Unternehmen hauptsächlich in der Cloud befindet. Aber selbst für Cloud-first-Unternehmen ist DSPM nur ein Teil einer ganzheitlichen Datenstrategie.
DSPM ist ein Teil eines ganzheitlichen Ansatzes zur Datensicherheit.
Neben der Verbesserung Ihrer Datensicherheitslage mit DSPM ist die Erkennung aktiver Angriffe wichtig. Bedrohungen zu erkennen und darauf zu reagieren ist besonders wichtig, wenn Sie in einer Branche tätig sind, die von Angreifern besonders häufig ins Visier genommen wird, z. B. Gesundheitswesen, Regierung, Fertigung oder Finanzwesen.
Funktionen zur Ereignisüberwachung und -untersuchung sind ebenfalls wichtige Funktionen, die über die Klassifizierung von Daten hinausgehen und ein tiefes Verständnis des sensiblen Datenflusses ermöglichen: wie die Daten erstellt, aktualisiert, gelöscht, hochgeladen, heruntergeladen und weitergegeben wurden. In vielen Fällen – etwa bei Insider-Bedrohungen, Ransomware und Advanced Persistent Threats (APT) – ist das Verständnis dessen, was mit den Daten geschieht, der Schlüssel zur Erkennung und Verhinderung eines Datenlecks.
Für die meisten Unternehmen ist es wichtig, Daten zu schützen, wo auch immer sie sich befinden – ob On-Prem, in KI-Copilots, E-Mails und mehr –, auch wenn sie hauptsächlich in der Cloud tätig sind. Alle Orte, an denen sich sensible Daten befinden könnten, können zu Angriffsvektoren werden – selbst wenn sich Ihre sensiblen Daten hauptsächlich in der Cloud befinden. GenAI-Copilots zum Beispiel sind eine immer einfachere Möglichkeit für böswillige Akteure, an Anmeldeinformationen zu gelangen.
Oberflächlich betrachtet scheinen DSPM und CSPM ähnlich zu sein. Obwohl beide Lösungen darauf ausgelegt sind, Ihr Unternehmen vor Cyber-Bedrohungen zu schützen, verfolgen sie jeweils einen anderen Ansatz, um dieses Ziel zu erreichen.
DSPM stellt sicher, dass sensible Daten geschützt sind, wo auch immer sie sich befinden, während CSPM sich auf die Sicherung der Cloud-Infrastruktur kritischer Geschäftsanwendungen konzentriert, indem ein schwachstellenorientierter Ansatz verfolgt wird. CSPM scannt und analysiert die Cloud-Infrastruktur, um Fehlkonfigurationen und andere Sicherheitslücken zu identifizieren.
CSPM zeichnet sich durch die Erkennung von Schwachstellen und Fehlkonfigurationen in der Infrastruktur und im Netzwerk aus, beispielsweise durch die Identifizierung einer anfälligen EC2-Instanz, auf der ungepatchtes Windows mit Log4j ausgeführt wird. DSPM hingegen bietet ein granulares Verständnis der Daten und ihrer Exposure. So kann es beispielsweise sein, dass ein Dienstkonto mit einem schwachen Kennwort Zugriff auf einen Datenbank-Snapshot mit sensiblen Patientendaten hat – was es zum idealen Ziel für Angreifer macht.
CSPM bietet keinen Einblick in die darin enthaltenen Daten. Angriffe wie ein Bedrohungsakteur, der einen API-Schlüssel in einem verwaisten Snapshot findet, oder Social Engineering nutzt, um mit legitimen Anmeldeinformationen Zugriff zu erhalten, oder ein Insider, der vertrauliche Daten auf ein persönliches Konto kopiert: All diese Schwachstellen würden bei der Verwendung von CSPM allein übersehen werden. CSPM ist zwar wertvoll, aber die einzige todsichere Methode zur Vermeidung von Datenlecks besteht darin, zu wissen, was mit den Daten selbst geschieht.
Die Data Security Platform von Varonis schließt die Lücke zwischen beiden Konzepten. Unser universeller Datenbank-Connector kann in jede mit dem Netzwerk verbundene Datenbank integriert werden, um sensible strukturierte Daten in großem Umfang zu erkennen und zu klassifizieren – unabhängig davon, wo sie sich befinden.
DLP-Lösungen verwenden eine Vielzahl von Techniken zum Schutz von Daten – wie Klassifizierung, Verschlüsselung, Überwachung und Durchsetzung von Richtlinien – und konzentrieren sich auf Endpoints oder den Perimeter der Cloud durch kontrollierte Ausgangspunkte.
Während sich DLP darauf konzentriert, die Daten daran zu hindern, die Umgebung zu verlassen, liegt der Schwerpunkt bei DSPM auf der Verbesserung der Sicherheitslage der Daten: dem Verstehen dessen, welche sensiblen Daten vorhanden sind, dem Analysieren der Exposure und Risiken sowie dem Schließen von Sicherheitslücken.
Unsere Datensicherheitsplattform nutzt die DSPM- und DLP-Frameworks zusammen, um Datentransparenz, Compliance, Status und Bedrohungserkennung zu verbessern.
Es gibt eine Menge Lärm im DSPM-Bereich, und es kann schwierig sein, eine seriöse Lösung von einer zu unterscheiden, die letztlich keine Ergebnisse für Ihr Unternehmen bringt.
Unser DSPM-Einkaufsleitfaden hilft Ihnen, die verschiedenen Arten von DSPM-Lösungen besser zu verstehen und häufige Fallstricke zu vermeiden. Zudem enthält Fragen er, die Sie den Anbietern stellen sollten, um sicherzustellen, dass Sie eine Datensicherheitslösung erwerben, die Ihren individuellen Anforderungen entspricht.
In dem Leitfaden empfehlen führende CISOs drei Evaluierungsschritte, die bewährte Verfahren für die Evaluierung einer DSPM-Lösung darstellen:
„Meine goldene Regel bei der Evaluierung einer neuen Technologie ist, Behauptungen mit einem POC zu validieren. Bei Anbietern, die sich weigern, einen POC durchzuführen, sollten Sie vorsichtig sein. Versuchen Sie, POCs auf Produktionssystemen oder Sandboxen durchzuführen, die den Umfang Ihrer Produktionsumgebung imitieren. Testen Sie bei DSPM die Datenklassifizierungsergebnisse auf falsch positive Ergebnisse.“
„Bitten Sie um einen anonymisierten Risikobericht eines echten Kunden – keine Marketingbroschüre. Auf diese Weise können Sie besser verstehen, ob der Anbieter die gewünschte Granularität und Tiefe bietet. Musterberichte können Ihnen helfen festzustellen,
ob sich ein POC lohnt.“
„Seien Sie vorsichtig bei der Beurteilung von Anbietern auf der Grundlage von Auszeichnungen und Presse, denn vieles davon ist bezahlt. Suchen Sie nach validierten DSPM-Bewertungen von vertrauenswürdigen Quellen wie Gartner und Forrester. Bitten Sie darum, direkt mit Referenzkunden zu sprechen. Stellen Sie sicher, dass auf der Website Fallstudien von Kunden verfügbar sind. Sie wollen nicht der erste große Kunde sein.“
DSPM sollte auf dem Radar jedes Cloud-First-Unternehmens sein, das Datensicherheit priorisiert, und ist ein wichtiger Teil eines ganzheitlichen Datensicherheitsansatzes.
Wenn Sie verstehen, wie Datenermittlung und -klassifizierung, Analysen der Exposure und Sicherheitslage sowie Sanierungsmaßnahmen dazu beitragen, Datenlecks zu verhindern und immer strengere Vorschriften einzuhalten, bekommen Sie eine gute Vorstellung davon, welche DSPM-Funktionen für Ihr Unternehmen am besten geeignet sind.
Varonis führt den DSPM-Markt auf Gartner Peer Insights an und ist die einzige Lösung, die Risiken automatisch behebt, Richtlinien durchsetzt und Bedrohungen in Echtzeit erkennt.
Erkunden Sie unsere Plattform weiter und vereinbaren Sie eine 30-minütige Demo, um mehr zu erfahren.