Отслеживание конфиденциальных данных в вашем облачном хранилище может быть утомительным. По своей природе облачные вычисления динамичны и эфемерны. Облачные данные легко создавать, удалять и перемещать. Соответственно, зона облачных атак столь же динамична, что усложняет меры защиты. За последние несколько лет были разработаны инструменты, называемые управлением состоянием безопасности данных (data security posture management, DSPM), для обнаружения как известных, так и неизвестных данных, отображение структуры данных и управления рисками, связанными с их потенциальным раскрытием.
Зачем вам DSPM?
Если это звучит знакомо, то вы можете заблуждаться, полагая, что это всего лишь еще одна попытка сегментировать рынок защиты от потери данных (DLP) . Инструменты DSPM не являются DLP: они не ждут, пока данные будут украдены или экспортированы, а предоставляют более полную картину.
Инструменты DSPM быстро завоевали популярность: если еще в 2022 году Gartner обнаружила незначительное проникновение на рынок среди своих клиентов — менее одного процента, то теперь они прогнозируют , что в ближайшие годы этот показатель увеличится «более чем на 20% из-за требований по выявлению местонахождения ранее неизвестных хранилищ данных, а также по снижению связанных с этим рисков безопасности и конфиденциальности». Отчасти проблема заключается в том, что, как сообщает Gartner, «традиционные продукты для обеспечения безопасности данных не обладают достаточным кругозором для обнаружения ранее неизвестных или неопознанных хранилищ данных, и они не могут последовательно обнаруживать конфиденциальные данные». Другая проблема заключается в том, что использование данных может быть беспорядочным. Многие предприятия имеют множество хранилищ различных приложений, которые не обязательно ставят защиту данных на первое место. Конфиденциальные данные распространяются по облакам и приложениям.
Предполагается, что основная функция DSPM – обнаружение данных и возможных проблем с ними. Устранение обнаруженных проблем является прерогативой целой коллекции проверенных инструментов безопасности с известными аббревиатурами, таких как SOAR, SIEM , CNAPP и тому подобное. Некоторые поставщики DSPM либо интегрируются с ними, либо включают эти инструменты в свои продукты. Все это стоит дорого. Готовьтесь платить не менее 100 000 долларов в год.
Инструменты DSPM нацелены на теневые данные
Враг, на которого нацелены инструменты DSPM, называется «теневыми данными», элементами, которые были созданы разработчиками или процессами резервного копирования, или старыми репозиториями данных, которые устарели и остались скрываться в каком-то облачном контейнере, который давно забыт, не обновлен или не учтен.
Цель продуктов DSPM — искать и находить эти теневые данные, а также дополнять более обширные инструменты управления состоянием облачной безопасности (CSPM) . Но вместо того, чтобы сосредоточиться на защите облачных инфраструктур, инструменты DSPM смотрят исключительно на предназначение данных и то, как они используются различными облачными сервисами.
Возьмем в качестве примера случай 2022 года, когда разработчик Pegasus Airline неправильно настроил параметры контейнера хранилища AWS, что привело к раскрытию миллионов файлов личных данных. Это бедствие можно было бы обнаружить и предотвратить, поскольку DSPM предоставляет контекст этого контейнера. Во многих случаях эти два типа инструментов продаются одними и теми же поставщиками и дополняют друг друга. «Решения CSPM не обнаруживают данные, в то время как DSPM выявляет данные, права доступа и связанные с ними риски», — говорится в информационном бюллетене Normalyze.
Еще один момент: рыночное пространство DSPM быстро развивается. Большинства этих продуктов еще несколько лет назад не существовало, и поставщики добавляют в них различные функции, интегрируются с другими инструментами безопасности и образуют альянсы друг с другом. В прошлом году Palo Alto Networks приобрела Dig, Rubrik приобрела Laminar Security, а IBM приобрела Polar Security. Конечно, следует ожидать большего количества таких поглощений.
Краткий обзор 12 лучших инструментов DSPM
Concentric Semantic Intelligence
Сочетает в себе DSPM с обнаружением угроз, интегрируется с различными инструментами безопасности, охватывая как неструктурированные, так и структурированные данные с глубоким охватом данных сервисов AWS.
Cyera Data Security Platform
Платформа Cyera имеет сетевой модуль для сканирования локальных файлов и интегрируется с Netskope, различными специализированными каталогами данных (такими как Collibra, Secoda, DataHub), Wiz, Splunk и Tines. Он имеет очень практичный набор информационных панелей.
Eureka Security
Eureka сочетает DSPM с обнаружением угроз и интегрируется с озерами и хранилищами данных, такими как Snowflake, Atlas, Salesforce, ServiceNow и системами обработки заявок на базе Jira. По умолчанию новые данные сканируются в течение 24 часов, а существующие данные сканируются на наличие изменений каждые 14 дней.
IBM Security Guardium Insights SaaS DSPM
IBM приобрела Polar Security в прошлом году и до сих пор включает ее в свой комплексный продукт безопасности Guardium. Он сканирует только облачные данные, и использует предварительно установленные определения конфиденциальных данных.
Normalyze Cloud Platform
Normalyze сканирует как облачные, так и локальные источники данных и включает автоматическое исправление при выявлении неправильных конфигураций. Интеграция с другими инструментами безопасности будет добавлена позже в этом году.
OneTrust Privacy and Data Governance Cloud
OneTrust может сканировать более 200 различных источников данных как в облаке, так и локально, но не определяет права доступа на уровне учетной записи пользователя. Он напрямую интегрируется со Snowflake и Databricks для организации динамического контроля доступа, а также с другими инструментами безопасности, такими как ITSM, DLP и каталоги данных.
Palo Alto Networks Prisma Cloud DSPM
Prisma интегрируется с SIEM, тикет-системами, SSO и поставляется с более чем 100 готовыми классификаторами данных. Он поддерживает Snowflake, Office 365 и локальные общие файловые ресурсы. В прошлом году компания приобрела Dig Security и включила ее в свой продукт Prisma.
Securiti Data Command Center DSPM
Data Command Center добавляет в свой инструмент различные функции управления нарушениями и соблюдением требований, а также поддерживает такие технологии потоковой передачи данных, как Confluent, Kafka, Kinesis и Google PubSub. Он поставляется с 350 классификаторами контента, поддерживающими несколько языков, а также с более чем тысячей предопределенных правил обнаружения. Он интегрируется с широким набором облачных служб безопасности, CASB, CNAPP, CSPM, CIEM, KSPM, SIEM, DLP, IDS и инструментами обеспечения соответствия.
Sentra Cloud-Native Data Security Platform
Sentra имеет глубокую поддержку большинства разнообразных сервисов облачных вычислений, а также поддержку контейнеров и виртуальных машин. У него есть собственный инструмент обнаружения данных и реагирования практически в реальном времени, а также ряд очень наглядных информационных панелей. Он интегрируется с системами управлением данными (DataDog, DataHub, Coralogix), электронной почтой, ITSM (Jira, PagerDuty, ServiceNow), CNAPP (Wiz), средствами совместной работы (Atlan, Azure Boards, Slack, Teams, Monday.com), IAM (Okta, AD). ), IR (Seemplicity), SIEM (Splunk) и локальными файловые ресурсы.
Symmetry Systems DataGuard DSPM
DataGuard имеет текстовые информационные панели, а также дополнительный модуль обеспечения соблюдения политик. Он интегрируется с широким набором инструментов безопасности, включая SIEM (Splunk, Chronicle SIEM, SumoLogic, LogRhythm, Securonix), SOAR (Prisma Cortex XSOAR, Google Chronicle, Microsoft Sentinel, Tines), системы обработки заявок (Jira и ServiceNow) и системы уведомлений (Slack и PagerDuty).
Varonis Data Security
Varonis занимается безопасностью данных более десяти лет и обеспечивает интеграцию с SIEM (например, Splunk), SOAR (например, Palo Alto XSOAR), межсетевыми экранами, VPN, веб-прокси, службами DNS, Active Directory, Entra ID, Microsoft Purview Information Protection и Okta.
Wiz for DSPM
Wiz добавляет легкий агент под названием Runtime Sensor для обнаружения и реагирования. Помимо обычных облачных источников данных, он также сканирует различные локальные базы данных, такие как MySQL, PostgreSQL, MongoDB, а также их облачные версии, и интегрируется с более чем 60 различными продуктами безопасности. Полный набор функций DSPM доступен только при наличии расширенного плана лицензирования.
Общие функции и преимущества инструментов DSPM
Продукты DSPM ориентированы на поиск ваших данных, независимо от того, где они могут находиться и являются ли эти места хорошо документированными или неструктурированными, или же они представляют собой теневые репозитории данных, которые изначально были созданы командами подразделений вне компетенции ИТ-отделов и оставлены на хранение или забыты.
Поучительно то, как каждый поставщик описывает, где он ищет данные. Каждый поставщик поддерживает некоторую прозрачность облачных репозиториев данных, таких как Amazon Web Services, Google Cloud Platform и Microsoft Azure. Но это не означает, что он охватывает все услуги, предлагаемые каждым облачным провайдером. Например, у AWS есть хранилище S3, служба реляционных баз данных, облачное хранилище данных Redshift, бессерверные SQL-запросы Athena и службы управляемых данных ElasticSearch, а также несколько других ресурсов. Securiti прилагает все усилия, чтобы определить, какие услуги покрываются каждой облачной платформой, но это не настолько прозрачно, как могло бы быть в других DSPM. Один из подходов заключается в том, как Varonis использует « универсальный коннектор данных», который может находить более широкий спектр мест назначения структурированных данных, как в облаке, так и локально.
Некоторые поставщики признают облачные сервисы, которые они не поддерживают. Sentra не распространяется на данные, хранящиеся в Azure Synapse Analytics, Symmetry не обрабатывает базы данных мейнфреймов и не распространяется на данные, хранящиеся в ServiceNow и Salesforce, а Wiz не поддерживает данные, хранящиеся в Databricks, AWS Redshift или на SQL-серверах Azure с прозрачным шифрованием данных. Опять же, это очень динамичная ситуация, поскольку поставщики постоянно добавляют зоны покрытия по требованию клиентов.
Но отслеживание данных — это только начало процесса DSPM. После обнаружения данные необходимо каталогизировать, оценить и обобщить на различных информационных панелях. Большинство поставщиков DSPM заявляют, что «данные клиента всегда остаются в среде клиента». Обычно это означает сбор метаданных, а не самих данных, с использованием доступа только для чтения к приложениям, службам и структурам базы данных. Поставщики называют этот метод безагентным или использованием доступа через API. Преимущество этого метода заключается в возможности быстрого сканирования огромных объемов данных для понимания характера их использования и потенциальных факторов риска.
После обнаружения и сбора метаданных следующим шагом будет регулярное сканирование, чтобы увидеть, какие изменения были внесены: скопированы ли данные в какой-то темный уголок вашего облачного хранилища? Кто-то только что изменил права доступа, чтобы обеспечить более широкий или небезопасный доступ? Эти инструменты обеспечивают единое видение различных облачных и локальных хранилищ данных. Ключевое слово здесь «регулярно». Сканирование имеет периоды по умолчанию (например, ежедневно или еженедельно) и может быть активировано при обнаружении новых хранилищ данных.
Другой аспект поиска данных — это то, как данные используются в вашей производственной среде, включая конвейеры данных, озера и хранилища. Это может включать в себя создание карт данных для классификации этого ландшафта, а также упрощение аудита для определения того, кто имеет доступ к какому ресурсу данных и при каких конкретных обстоятельствах он был сделан общедоступным для всего предприятия. Карты — это не просто красивые картинки, а важные визуализации, которые показывают, например, где были оставлены теневые данные.
Помимо всей этой деятельности, существует целая область управления данными. Это означает, что DSPM инструменты определяют риски и применяют согласованные политики безопасности для управления всей вашей коллекцией данных, а также работают с другими инструментами безопасности для обеспечения соблюдения этих политик и устранения проблем.
Каждый инструмент DSPM имеет несколько компонентов, включая агентов и безагентные сборщики (полезны для отслеживания локальных данных), панель централизованного управления, сканеры, которые обнаруживают и определяют приоритетность сбора данных, карты происхождения и использования данных, а также средства оценки соответствия.
Большинство поставщиков предлагают свои продукты DSPM в одном или обоих более широких контекстах: для интеграции со сторонними службами безопасности (например, предлагаемыми Wiz и Securiti) или как часть собственного портфеля продуктов безопасности с другими дополнительными модулями, которые включают управление идентификацией, инструменты управления облаком, обнаружения и реагирования, а также анализа журналов (Cyera, Varonis, Wiz и Palo Alto Networks).
Специфика этих интеграций заслуживает изучения, поскольку некоторые поставщики, такие как Varonis и Palo Alto Networks, имеют более широкую поддержку интеграций, в то время как другие, такие как IBM и Normalyze, более ограничены или только начинают их реализовывать. Понимание области применения, уровня интеграции и других функций безопасности, которые включены в конкретный продукт и которые доступны за дополнительную плату, потребует некоторых усилий, чтобы в этом разобраться.
Продукты могут быть развернуты как комплексное облачное решение SaaS, решение запущенное на локальных серверах или частных виртуальных машинах или в какой-либо их комбинации.
Наконец, существует проблема ценообразования. Лишь немногие продавцы пожелали поделиться этой информацией, что указывает на то, что цены гибкие и зависят от множества факторов. Однако многие поставщики предлагают годовые подписки на торговых площадках Amazon и Azure, стоимость которых обычно начинается с 30 000 долларов США, но может быстро достигать шестизначных цифр.
Как оценить продукты DSPM
Для оценки инструментов DSPM потребуется значительный объем ресурсов, поскольку они затрагивают очень много различных аспектов ИТ-инфраструктуры предприятия. И это хорошо, потому что вы хотите, чтобы они искали и находили данные, независимо от того, где они могут скрываться. Наличие плана, в котором определены наиболее важные данные, поможет сфокусировать вашу оценку. Кроме того, полезно документировать, как каждый DSPM инструмент создает свою карту данных и как интерпретировать ее и соответствующие информационные панели. Наконец, вы должны понимать, какие именно облачные сервисы покрываются и какие из них включены в ближайшую дорожную карту поставщика продукта.
Источник: https://www.csoonline.com/article/2075321/top-12-data-security-posture-management-tools.html