La gestione del livello di sicurezza dei dati (DSPM) è una tecnologia di cybersecurity che identifica i dati sensibili in più ambienti e servizi cloud, valutandone la vulnerabilità alle minacce alla sicurezza e il rischio di non conformità normativa.
DSPM fornisce insight e automazione che consentono ai team di sicurezza di affrontare rapidamente i problemi di sicurezza e conformità dei dati e di prevenire le recidive.
Identificato per la prima volta dall'analista di settore Gartner (nel suo Hype Cycle for Data Security del 2022), DSPM viene talvolta definito sicurezza “data first” perché inverte il modello di protezione adottato da altre tecnologie e pratiche di cybersecurity.
Anziché proteggere i dispositivi, i sistemi e le applicazioni che ospitano, spostano o elaborano i dati, DSPM si concentra sulla protezione diretta dei dati. Detto questo, DSPM integra molte altre soluzioni nello stack tecnologico di sicurezza di un'organizzazione.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
La maggior parte delle tecnologie di sicurezza protegge i dati sensibili impedendo l'accesso non autorizzato alla rete o rilevando e bloccando comportamenti sospetti o nocivi da parte di utenti autorizzati e non, interfacce di programmazione delle applicazioni (API), dispositivi di Internet delle cose (IoT) o altro.
Queste tecnologie hanno migliorato la sicurezza dei dati, il rilevamento e la risposta alle minacce. Ma la massiccia adozione di cloud computing, sviluppo agile cloud-native, intelligenza artificiale (AI) e machine learning (ML) ha portato a rischi e vulnerabilità per la sicurezza dei dati che queste tecnologie non sempre risolvono. Queste vulnerabilità possono, a loro volta, esporre le organizzazioni al rischio di violazioni dei dati e di violazioni della conformità normativa.
Il principale tra questi rischi è rappresentato dai dati shadow: dati sottoposti a backup, copiati o replicati in uno storage dei dati che non è monitorato, gestito o regolato dagli stessi team di sicurezza, dalle stesse politiche di sicurezza o dagli stessi controlli di sicurezza dei dati originali. Ad esempio, nell'ambito dello sviluppo e dei test iterativi, i team DevOps potrebbero creare decine di nuovi storage dei dati ogni giorno e copiarvi i dati sensibili. Un singolo errore di configurazione potrebbe rendere i dati, in uno o tutti gli archivi, più vulnerabili all'accesso non autorizzato.
Anche la domanda di dati per la modellazione AI o ML contribuisce alla creazione di dati shadow, in quanto le organizzazioni ampliano l'accesso ai dati a un maggior numero di utenti che non hanno una comprensione adeguata della sicurezza e della governance dei dati. Inoltre, l'aumento dell'adozione di ambienti multicloud (utilizzo di servizi e applicazioni cloud di più fornitori) e di cloud ibrido (infrastruttura che combina e orchestra ambienti cloud pubblici e privati) distribuisce il rischio.
Secondo il report IBM Cost of a Data Breach 2023, l'82% delle violazioni dei dati riguardava dati archiviati in ambienti cloud e il 39% dei dati violati era archiviato in più tipi di ambienti informatici, tra cui cloud privato, cloud pubblico, cloud ibrido e on-premise.
Leggi l'impatto sul mercato della soluzione DSPM di IBM
Iscriviti alla newsletter IBM
Le soluzioni DSPM individuano i dati sensibili di un'organizzazione, ne valutano il livello di sicurezza, correggono le vulnerabilità in linea con gli obiettivi di sicurezza e i requisiti di conformità dell'organizzazione, e implementano misure di sicurezza e monitoraggio per prevenire recidive relative alle vulnerabilità identificate.
In genere, le soluzioni DSPM sono senza agent (il che significa che non richiedono l'implementazione di un'app software separata per ogni asset o risorsa monitorati e protetti) e forniscono un elevato grado di automazione.
Anche se gli esperti di sicurezza potrebbero dissentire sui dettagli, DSPM è generalmente costituito da quattro componenti chiave:
Data discovery
Classificazione dei dati
Valutazione del rischio e definizione delle priorità
Correzione e prevenzione
Le funzionalità di data discovery delle soluzioni DSPM eseguono la scansione continua degli asset di dati sensibili ovunque si trovino. Ciò include la scansione attraverso:
ambienti on-premise e cloud (ad esempio, cloud pubblici, privati e ibridi).
tutti i fornitori di servizi cloud, ad esempio Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud e Microsoft Azure, nonché provider di Software-as-a-Service (SaaS) come Salesforce.
tutti i servizi cloud, ad esempio Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Database-as-a-Service (DBaaS)
tutti i tipi di dati e storage di dati, ad esempio dati strutturati e non strutturati, storage cloud (archiviazione di file, block Storage e object storage) o servizi di storage associati a particolari servizi cloud, app cloud o provider di cloud service.
In generale, la classificazione dei dati categorizza gli asset di dati in base ad alcuni criteri predefiniti. Nel contesto DSPM, la classificazione dei dati categorizza i dati in base alla loro sensibilità, determinando quanto segue per ogni asset di dati:
- Il livello di sensibilità dei dati—che si tratti di PII, informazioni riservate, relative a segreti commerciali, o altri.
- Chi può e dovrebbe essere autorizzato ad accedere ai dati.
- Come vengono archiviati, gestiti e utilizzati i dati.
- Se i dati sono soggetti a framework normativi, ad esempio l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS), il General Data Privacy Regulation (GDPR) dell'UE, il California Consumer Privacy Act (CCPA) e altre normative sulla protezione/privacy dei dati.
DSPM identifica e assegna la priorità alle vulnerabilità associate ad ogni asset di dati. In primo luogo, DSPM cerca le seguenti vulnerabilità:
Errori di configurazione
Gli errori di configurazione sono impostazioni di sicurezza di un'applicazione o di un sistema mancanti o incomplete che rendono i dati di un'organizzazione vulnerabili all'accesso non autorizzato. Il risultato più comune di un errore di configurazione è lo storage di dati nel cloud non protetto, ma un'errata configurazione può anche creare vulnerabilità come patch di sicurezza non applicate e una mancata crittografia dei dati. L'errore di configurazione è ampiamente considerato come il rischio più comune per la sicurezza dei dati nel cloud ed è una causa frequente di perdita o fuga di dati.
Overentitlement (o overprovisioning)
L'overentitlement consiste nel concedere agli utenti più privilegi o autorizzazioni di accesso ai dati di quelli necessari per svolgere il loro lavoro. L'overentitlement può essere il risultato di un errore di configurazione, ma può verificarsi anche quando le autorizzazioni vengono intenzionalmente aumentate in modo improprio o incauto (o doloso, da parte dell'attore di una minaccia), o quando le autorizzazioni pensate per essere temporanee non vengono revocate quando non più necessarie.
Problemi di flusso dei dati e data lineage
L'analisi del flusso di dati tiene traccia di tutti i luoghi in cui sono stati i dati e di chi ha avuto accesso in ciascun luogo. In combinazione con le informazioni sulle vulnerabilità dell’infrastruttura, l’analisi del flusso di dati può rivelare potenziali percorsi di attacco ai dati sensibili.
Violazioni di politiche di sicurezza e normative
Le soluzioni DSPM associano le impostazioni esistenti di sicurezza dei dati alle politiche di sicurezza dei dati dell'organizzazione e ai requisiti di sicurezza dei dati imposti da eventuali framework normativi a cui l'organizzazione è soggetta, per identificare dove i dati sono protetti in modo inadeguato e dove l'organizzazione corre rischi di non conformità.
Le soluzioni DSPM forniscono report e dashboard in tempo reale che danno priorità alle vulnerabilità in base alla gravità, in modo che i team di sicurezza e gestione del rischio possano concentrarsi sulla correzione dei problemi più critici. Molte soluzioni DSPM forniscono anche istruzioni di correzione dettagliate o playbook di risposta agli incidenti per risolvere potenziali rischi o minacce in corso alla sicurezza dei dati.
Alcune soluzioni DSPM automatizzano le modifiche alle configurazioni delle applicazioni o del sistema, ai controlli di accesso e alle impostazioni del software di sicurezza per una migliore protezione dalla potenziale esposizione dei dati. Altre possono essere integrate con i workflow dei DevOps per correggere potenziali rischi per la sicurezza nelle prime fasi del ciclo di sviluppo delle applicazioni.
Tutte le soluzioni DSPM monitorano continuamente l'ambiente alla ricerca di nuovi asset di dati e li verificano costantemente per individuare potenziali rischi per la sicurezza.
La gestione del livello di sicurezza del cloud o CSPM è la tecnologia di cybersecurity che automatizza e unifica l'identificazione e la correzione di errori di configurazione e rischi per la sicurezza in ambienti e servizi di cloud ibrido e multicloud.
CSPM è simile a DSPM, ma le due soluzioni coprono diverse aree di interesse. CSPM si concentra sulla ricerca e la correzione delle vulnerabilità a livello di infrastruttura cloud e in particolare nelle unità di calcolo (come macchine virtuali o container) e nelle implementazioni PaaS. DSPM si concentra sull'individuazione e sulla correzione delle vulnerabilità a livello dei dati.
Più le organizzazioni espandono l'adozione del cloud, più è probabile che abbiano bisogno di entrambi: CSPM per limitare o impedire l'accesso non autorizzato agli asset dell'infrastruttura cloud e DSPM per limitare o impedire l'accesso non autorizzato ai dati contenuti negli asset.
Scopri di più sulle differenze tra DSPM e CSPM
Esplora la soluzione DSPM di IBM e prenota una demo live gratuita con un esperto in materia
DSPM può essere integrato con altri strumenti di sicurezza aziendale per migliorare il livello di sicurezza dei dati di un'organizzazione, in particolare, e le sue capacità di rilevamento, prevenzione e risposta alle minacce, in generale.
DSPM e IAM
La gestione delle identità e degli accessi, o IAM, gestisce le identità degli utenti e le autorizzazioni di accesso per garantire che solo gli utenti e i dispositivi autorizzati possano accedere alle risorse di cui hanno bisogno, per i motivi giusti, al momento giusto. Integrando DSPM e IAM, i team di sicurezza possono automatizzare le modifiche di accesso alle autorizzazioni e proteggere meglio i dati sensibili dell'organizzazione.
DSPM e EDR
La funzione di rilevamento e risposta degli endpoint (EDR) utilizza il real-time analytics e l'automazione basata sull'AI per monitorare e proteggere gli endpoint e prevenire le minacce informatiche che riescono a oltrepassare il software antivirus e altre tradizionali tecnologie di endpoint security. Integrare DSPM e EDR può aiutare a garantire la coerenza all'interno di un'organizzazione tra endpoint security, sicurezza dei dati e politiche di conformità.
DSPM e SIEM
Le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) raccolgono dati di log relativi alla sicurezza e altre informazioni provenienti da tutta l'azienda, per poi correlarli e analizzarli per aiutare i team addetti alla sicurezza a rilevare le minacce e a semplificare o automatizzare la risposta agli incidenti. DSPM può importare dati SIEM per ottenere ulteriore contesto e insight relativi al livello di sicurezza degli asset di dati.
DSPM e DLP
Le strategie e gli strumenti di prevenzione della perdita di dati (DLP) aiutano le organizzazioni a prevenire fughe, esfiltrazioni (furti) e perdite di dati, monitorando i dati in tutta la rete e applicando politiche di sicurezza granulari. L'integrazione di DSPM e DLP può arricchire l'analisi del flusso di dati DSPM per identificare più accuratamente i rischi per la sicurezza dei dati e i percorsi di attacco ai dati sensibili.
Scopri i dati shadow, analizza il flusso di dati e individua le vulnerabilità nelle tue applicazioni cloud e SaaS. Fornisci ai team addetti alla conformità e alla sicurezza la visibilità e gli insight essenziali per garantire che i dati sensibili della tua azienda siano protetti e conformi.
Proteggi i dati aziendali in più ambienti, ottieni una maggiore visibilità per indagare e correggere le minacce informatiche, rispettare le normative sulla privacy e semplificare la complessità operativa.
Automatizza audit e report di conformità, rileva e classifica i dati e le origini, monitora le attività utente e rispondi alle minacce relative alla sicurezza dei dati quasi in tempo reale.
Proteggi i dati negli ambienti cloud ibridi e supporta i percorsi di migrazione e modernizzazione dei clienti.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
CSPM automatizza e unifica l'identificazione e la correzione di errori di configurazione e rischi per la sicurezza in ambienti e servizi di cloud ibrido e multicloud.