数据安全态势管理：什么是事实，什么是虚构？

news2024/10/5 5:40:41

考虑到组织存储大量数据的日益复杂的云环境，数据安全态势管理 ( DSPM )的兴起并不令人意外。使组织能够全面了解云数据资产和敏感数据的安全状况的流程对于当今的安全团队来说非常有价值。

尽管 DSPM 的重要性日益凸显，但人们对于它能为企业做什么和不能做什么仍然存在误解。

随着数据对公司变得如此有价值，它在各地呈爆炸式增长。公司正在将数据转移到云端，将其聚合在数据仓库和 SaaS 应用程序中，并在系统之间实时传输数据以做出决策。随着安全攻击猖獗，企业担心数据泄露会扰乱业务运营和创新。

传统的数据丢失防护(DLP) 方法尚未被证明在云中有效。传统的 DLP 众所周知噪音大且对用户不友好，缺乏对云架构的了解和处理超大规模的能力。通常，他们要求团队了解要保护的数据类型以及在何处实施安全控制。

但在云中，数据蔓延是真实存在的。敏感数据分散在云服务中，并且影子 IT 数据系统如此之多，攻击面太模糊且太大，DLP 无法防御。

云原生 DLP 已经出现，但成本太高且关注范围狭窄。更复杂的是，安全团队意识到他们最近对第三方云原生应用程序保护技术的投资并不能解决云中的数据风险。

该行业迫切需要一种更具可扩展性和可靠的以数据为中心的方法来保护无处不在的云数据，因此 DSPM 出现了。

考虑到这一背景，让我们了解 DSPM 可以提供什么、不能提供什么。

提供有关数据的智能见解

DSPM 技术使公司能够更好地了解其数据，无论数据存储在哪个公共云中。DSPM 技术的核心是一种使用机器学习技术对敏感数据进行分类和识别并提供有价值的上下文（例如业务、安全和隐私元数据以及底层系统配置）的方法。

许多 DSPM 解决方案还可以监控数据访问，使企业能够跟踪数据用户及其角色、权限和位置。尽管 DSPM 技术可能会随着市场的成熟而发展，但该概念本身有望成为数据安全团队的游戏规则改变者。

但数据与您需要保护的云基础设施的其他元素不同。数据不是静态的，而是在云内外的数据系统之间移动和复制，在表和列之间转换，甚至流向下游到应用程序以进行实时决策。

静态和动态数据跨越公共云的边界，扩展到传统的本地系统和 SaaS 应用程序。鉴于 DSPM 的公共云重点，组织应考虑将 DSPM 的优势扩展到数据的整个生命周期的技术，并始终如一地实施安全控制，无论数据位于何处。

根据数据上下文确定错误配置的优先级

假设您从云安全态势管理 (CSPM) 解决方案中收到两个警报：

● AWS S3 确保存储桶可通过存储桶策略公开访问

● AWS Redshift Cluster 使用默认端口进行网络访问

您会首先优先考虑哪一个？

可能是 S3 存储桶，因为每个人都可以访问数据。Redshift 集群可能感觉不太容易受到攻击，因为它可能有其他控制措施来防止黑客通过默认端口入侵。但如果您知道 S3 包含营销网站图像，而 Redshift Cluster 管理包含客户个人身份信息 (PII) 的财务记录，您的决定就会改变。

这是 CSPM 解决方案面临的挑战，因为它们缺乏有关所保护数据的智能。当团队收到大量数据安全警报时，他们需要更多背景信息来确定行动的优先级。虽然有些人可能认为 CSPM 可以自动修复所有警报，但这并不总是实用，特别是当一个小的配置更改可能会导致整个应用程序崩溃时。

补充 CSPM 控制

虽然 DSPM 确实提供了更多的数据智能，但 CSPM 解决方案在提高组织的整体安全性方面仍然发挥着至关重要的作用。DSPM 和 CSPM 是提供多层防御的互补解决方案。例如，CSPM 可以向组织发出警报，告知攻击者如何利用虚拟机错误配置来承担管理员角色并访问其他云资源。同时，DSPM 可以帮助识别云中不受保护的社会安全号码和信用卡信息。DSPM 的作用是帮助组织保护其数据，指导如何根据敏感数据的存储位置、谁有权访问这些数据以及底层数据系统的错误配置来确定风险缓解工作的优先级。

换句话说，DSPM 和 CSPM 都有其独特的优势，并且它们共同提供了更全面的安全态势。最终，CSPM 和 DSPM 供应商将提供重叠的功能，但他们明白，前者广泛应用于云基础设施，而后者则有潜力将数据控制扩展到云内外。