主页
topics
数据安全状态管理
数据安全状况管理 (DSPM) 是一种网络安全技术,用于识别多个云环境和服务中的敏感数据,评估其对安全威胁的脆弱性和不合规风险。
DSPM 提供洞察力和自动化功能,使安全团队能够快速解决数据安全性和合规性问题,并防止其再次发生。
DSPM 这个概念最初由行业分析机构 Gartner(在其《2022 年网络安全技术成熟度曲线》报告中)提出,有时被称为“数据优先”安全,因为它颠覆了其他网络安全技术和实践所采用的保护模式。
DSPM 的重点不是保护容纳、移动或处理数据的设备、系统和应用程序,而是直接保护数据。尽管如此,DSPM 与组织安全技术堆栈中的许多其他解决方案相辅相成。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
大多数安全技术通过防止未经授权的网络访问,或者通过检测和阻止授权或未经授权的用户、应用程序编程接口 (API)、物联网 (IoT) 设备或其他实体的可疑或恶意行为来保护敏感数据。
这些技术使数据安全和威胁检测与响应变得更好。然而,云计算、敏捷云原生开发以及人工智能 (AI) 和机器学习 (ML) 的广泛采用导致了数据安全风险和漏洞,而这些技术并不总能解决这些问题;这反过来又可能使组织面临数据泄露和监管违规的风险。
在这些数据风险中,最主要的是影子数据,即备份或复制到数据存储的数据,而这些数据存储不受与原始数据相同的安全团队、策略或控制措施的监控、管理或治理。例如,作为迭代开发和测试其中一环,开发运维 (DevOps) 团队可能每天都会启动大量数据新存储,并将敏感数据复制到其中。单个错误配置可能会使任何或所有这些存储中的数据更容易受到未经授权的访问。
AI 或 ML 建模对数据的需求也助长了影子数据的产生,因为各组织会将数据访问权限扩大至更多用户,而这些用户对适当的数据安全和治理知之甚少。日益普及的多云环境(使用来自多个供应商的云服务和应用程序)和混合云(结合并协调公共云和私有云环境的基础设施)也会扩散风险。
根据《IBM 2023 年数据泄露成本报告》显示,82% 的数据泄露涉及存储在云环境中的数据,39% 的泄露数据存储在多种类型的计算环境中,包括私有云、公共云、混合云和本地部署。
DSPM 解决方案可定位组织的敏感数据,评估其安全状况,根据组织的安全目标和合规要求修复其漏洞,并实施保障措施和监控,以防止已识别的漏洞再次出现。
通常情况下,DSPM 解决方案并无代理(这意味着此类解决方案不需要将单独的软件应用程序部署到每个受监控和保护的资产或资源),并提供高度自动化。
DSPM 通常由四个关键部分组成(虽然安全专家对细节的看法可能不同):
数据发现
数据分类
风险评估和优先次序
修复和预防
DSPM 解决方案的数据发现功能可持续扫描存储于任何位置的敏感数据资产。这包括扫描:
各种本地部署和云环境(例如公有云、私有云和混合云)。
所有云供应商,例如Amazon Web Services (AWS)、Google Cloud Platform (GCP)、IBM Cloud® 和 Microsoft Azure,以及 Salesforce 等软件即服务 (SaaS) 供应商。
所有云服务 - 例如基础设施即服务 (IaaS)、平台即服务 (PaaS) 和数据库即服务 (DBaaS)。
所有类型的数据和数据存储,例如结构化和非结构化数据、云存储(文件、Block Storage 和 Object Storage)或与特定云服务、云应用程序或云服务提供商相关的存储服务。
一般来说,数据分类根据一些预定义的标准对数据资产进行分类。在 DSPM 的背景下,数据分类通过为每个数据资产确定以下内容,根据其敏感性对数据进行分类:
DSPM 可识别与每种数据资产相关的漏洞并对其进行优先级排序。DSPM 主要查找以下漏洞:
错误配置
错误配置是指应用程序或系统安全设置缺失或不完整,导致组织的数据容易受到未经授权的访问。错误配置最常见的结果是不安全的云数据存储,但配置错误也会造成未应用安全补丁和错过数据加密等漏洞。错误配置被广泛认为是最常见的云数据安全风险,也是数据丢失或泄露的主要原因。
过度授权(或过度许可)
过度授权授予用户的数据访问权限或许可超出了其工作所需的范围。过度授权可能由错误配置导致,但如果用户的权限被不当或粗心(或被威胁参与者恶意)地故意升级,或者当不再需要时没有取消本应是临时性的权限,也会发生这种情况。
数据流和数据沿袭问题
数据流分析跟踪数据去过的所有位置以及每个位置有权访问数据的人员。结合基础设施漏洞信息,数据流分析可以揭示敏感数据的潜在攻击路径。
违反安全策略和法规
DSPM 解决方案将数据的现有安全设置映射到组织的数据安全策略,以及组织所遵守的任何监管框架规定的数据安全要求,以确定数据在哪些方面没有得到充分保护,以及组织在哪些方面存在违规风险。
DSPM 解决方案提供报告和实时仪表板,可根据严重程度确定漏洞的优先级,以便安全和风险管理团队可以专注于修复最严重的问题。许多 DSPM 解决方案还提供分步补救说明或事件响应手册,用于解决潜在风险或正在发生的数据安全威胁。
一些 DSPM 解决方案会自动修改应用程序或系统配置、访问控制和安全软件设置,以更好地防止潜在的数据泄露。其他解决方案则可以与开发运维 (DevOps) 工作流程整合,在应用程序开发周期的早期消除潜在的安全风险。
所有 DSPM 都会持续监控相关环境中的新数据资产,并持续审核这些资产是否存在潜在安全风险。
云安全状况管理(简称 CSPM)是一种网络安全技术,可实现混合云和多云环境及服务中错误配置和安全风险之识别和修复过程的自动化和统合。
CSPM 听起来与 DSPM 相似,但两者的关注重点不同。CSPM 专注于发现和修复云基础设施层面的漏洞,特别是计算单元(如虚拟机或容器)和 PaaS 实施中的漏洞。DSPM 专注于查找和修复数据级别的漏洞。
组织将云采用的范围扩展得越广,就越可能需要以下两者:以 CSPM 来限制或防止对云基础设施资产的未经授权的访问,和以 DSPM 来限制或防止对这些资产所包含的数据进行未经授权的访问。
DSPM 可以与其他企业安全工具集成,以改善组织的数据安全状况,特别是其威胁检测、预防和响应能力。
DSPM 和 IAM
身份和访问管理 (IAM) 管理用户身份和访问权限,以确保只有经过授权的用户和设备才能在正确的时间出于正确的原因访问所需的资源。通过集成 DSPM 和 IAM,安全团队可以自动更改访问权限,以更好地保护组织的敏感数据。
DSPM 和 EDR
端点检测和响应 (EDR) 使用实时分析和 AI 驱动的自动化操作来监控和保护端点,并帮助防止网络威胁绕过防病毒软件和其他传统端点安全技术。整合 DSPM 和 EDR 有助于确保组织的端点安全、数据安全和合规政策之间的一致性。
DSPM 和 SIEM
安全信息和事件管理 (SIEM) 从整个企业收集与安全相关的日志数据和其他信息,并对这些数据进行关联和分析,以帮助安全团队检测威胁,简化或自动执行事件响应。DSPM 可以采集 SIEM 数据,以获得更多与数据资产安全状况相关的背景信息和洞察分析。
DSPM 和 DLP
数据丢失预防 (DLP) 策略和工具通过跟踪整个网络中的数据并实施精细的安全策略,帮助组织防止数据泄露、数据渗漏(数据盗窃)和数据丢失。DSPM 和 DLP 集成可以丰富 DSPM 数据流分析,更准确地识别数据安全风险和敏感数据的攻击路径。
在云端和各种 SaaS 应用程序中发现影子数据、分析数据流并找出漏洞。为合规性和安全团队提供必要的可见性和洞察,以帮助确保公司的敏感数据安全且合规。
保护多个环境中的企业数据,获得更高的可见性以调查和修复网络威胁,遵守隐私法规并降低操作复杂性。
自动执行合审计和报告,发现数据和数据源并加以分类,近乎实时监控用户活动并应对数据安全威胁。
保护混合云环境中的数据,为客户的迁移和现代化之旅提供支持。