Multi-Cloud-Datenerkennung und -Reaktion mit Cyera

Wenn ein Angriff im Gange ist, wartet man nicht ab, um zu sehen, welchen zusätzlichen Schaden er noch anrichten kann. Man handelt.

Leider dauert es bei vielen Unternehmen Wochen, Monate oder sogar Jahre, bis ein Datenverstoß erkannt wird. Laut IBM beträgt die durchschnittliche Zeit zur Erkennung eines Verstoßes 277 Tage, also etwa 9 Monate. Diese Verzögerung bei der Erkennung eines Vorfalls gibt Angreifern ausreichend Zeit, die Weiten der Umgebung, zu der sie Zugang erlangt haben, zu erkunden und weitere wertvolle Daten zu entdecken.

T-Mobile, der zweitgrößte Mobilfunkanbieter in den Vereinigten Staaten, brauchte über einen Monat, um festzustellen, dass es zu einer Datenpanne gekommen war. Und zu diesem Zeitpunkt waren bereits Daten von über 37 Millionen Kunden gestohlen worden.

Wie zu erwarten, hören Angreifer nicht auf, sobald sie auf den ersten Datenschatz gestoßen sind. Sie werden weiterhin Daten exfiltrieren, solange der Zugang offen bleibt. Toyota Motor Corporation entdeckte, dass ein Zugangsschlüssel fast fünf Jahre lang öffentlich zugänglich war und in dieser Zeit personenbezogene Kundendaten offengelegt wurden.

Einführung in Multi-Cloud Data Detection and Response

Während das Management und die Prävention von Risiken wichtige Schwerpunkte sind, sollten Sie auch darauf vorbereitet sein, schnell zu reagieren. Hier kommt Multi-Cloud Data Detection and Response (DDR) ins Spiel.

Der Grund, warum Sie Multi-Cloud-DDR einsetzen, ist, um Schutz vor Datenexponierungen, Konfigurationsänderungen, nicht genehmigtem Datenzugriff und Datenexfiltration zu ermöglichen, sobald diese auftreten. All diese Ereignisse könnten auf eine Datenpanne hindeuten.

Früherkennung ist entscheidend, um Ihnen zu helfen, den Schaden einer Datenpanne zu minimieren. Sobald Angreifer Zugangsdaten erhalten, um ins System zu gelangen, benötigen sie Zeit, um ihre Aktivitäten zu finden, Daten zu extrahieren und daraus Profit zu schlagen – sei es durch den Verkauf der Zugangsdaten oder der Daten selbst.

Warum Multi-Cloud-DDR wichtig ist 

Ausgewogenes Verhältnis zwischen proaktiven und reaktiven Ansätzen 

Wir vereinen das Beste aus beiden Welten, was sowohl proaktive als auch reaktive Ansätze ermöglicht.

Data Security Posture Management (DSPM) bedeutet, proaktiv zu handeln, indem Schwachstellen, Gefährdungen und andere Risiken für Daten in Ihrer gesamten Datenlandschaft identifiziert werden. Sobald Sie einen vollständigen Überblick über Ihre Datenrisiken haben, sind Sie in der Lage, die Angriffsfläche zu verringern, bevor Probleme überhaupt entstehen.

Aber Vorbeugung ist nicht immer möglich.

Stellen Sie sich einen Datenspeicher vor, der gerade aus einem Snapshot wiederhergestellt wurde. Der Datenspeicher enthält sensible Daten, aber die Daten sind nicht verschlüsselt. Oder sensible Daten in einem SharePoint, die nur für den internen Gebrauch bestimmt sind, werden extern mit einer nicht genehmigten Drittpartei oder einer privaten Gmail-Adresse geteilt. Während sich diese Ereignisse abspielen, kann Multi-Cloud-DDR den Vorfall schnell zur Untersuchung und Behebung kennzeichnen.

Erweiterung der Abdeckung

Sie können nur die Daten schützen, die Sie sehen. Wir verfolgen einen ganzheitlichen und einheitlichen Ansatz für Multi-Cloud-DDR. Deshalb überwachen wir Ereignisse in SaaS-, IaaS- und PaaS-Umgebungen.

Cloud-Plattformen sind äußerst skalierbar und ermöglichen es Nutzern, von nahezu überall auf ihre Ressourcen zuzugreifen, einschließlich der großen Mengen sensibler Daten, die sie speichern. Dadurch können jedoch Schwachstellen entstehen, die sensible Daten durch Fehlkonfigurationen und zu großzügige Zugriffsrechte offenlegen. Multi-Cloud-DDR kann darauf hinweisen, wenn eine Fehlkonfiguration öffentlichen Zugriff ermöglicht oder wenn das Logging deaktiviert ist, wodurch Sicherheitsvorfälle unentdeckt bleiben könnten.

Kontextualisierung von Vorfällen

Multi-Cloud-DDR funktioniert, indem Ereignisse analysiert werden, die in verschiedenen Cloud-Umgebungen generiert werden. Auf den ersten Blick sagt uns ein einzelnes Ereignis vielleicht nicht viel. Genau deshalb ist der Datenkontext so wichtig. Der Kontext liefert uns die Geschichte hinter dem Ereignis, sodass wir dessen Risiko genauer einschätzen und unnötige Warnmeldungen reduzieren können.

Nehmen wir an, ein Datenspeicher mit Diagnosedaten wird weitgehend zugänglich. Gibt es Risiken im Zusammenhang mit der erhöhten Zugänglichkeit, und sollte das einen Alarm auslösen?

Der Kontext zur Umgebung liefert uns Informationen über den Datenspeicher – dass er weitgehend zugänglich ist, aber auch dem leitenden Data Scientist gehört. Daraus können wir schließen, dass Data Scientists wahrscheinlich Modelle mit diesen Daten ausführen müssen.

Der Kontext zu den Daten zeigt, dass es sich tatsächlich um synthetische Daten handelt. Sie wurden erstellt, um echte Daten nachzuahmen, ohne tatsächliche Kundendaten preiszugeben, damit genauere KI-Modelle trainiert werden können.

Der Kontext bezüglich des Eigentümers der Daten (Datenwissenschaftler) und der Darstellung der Daten (synthetische Daten) deutet darauf hin, dass es sich bei den Diagnosedaten nicht um ein hohes Risiko handelt. Daher sollte keine Warnung ausgelöst werden.

Operationalisierung von End-to-End-Erkennung und -Reaktion

Eine wachsende Datenlandschaft geht mit einer Zunahme an Tools, Prozessen und Personen einher, die zu ihrer Verwaltung benötigt werden. Wenn isolierte Tools oberflächliche Warnmeldungen erzeugen, entsteht Lärm, der SOC-Teams von kritischen Problemen ablenkt. Das Fehlen von Transparenz und Kommunikation zwischen Menschen und Prozessen verzögert die mittlere Reaktionszeit (MTTR).

Deshalb ist eine erforderliche Fähigkeit von Multi-Cloud-DDR die Interoperabilität mit Ihrem bestehenden Tech-Stack.

Anmeldedaten gelten als hochsensible Informationen und sollten verschlüsselt werden. Werden Anmeldedaten jedoch im Klartext gespeichert, können sie offengelegt werden. Mit einer Verschlüsselungsrichtlinie kann Multi-Cloud-DDR Verstöße gegen diese Richtlinie erkennen. Es wird ein Alarm über den Vorfall ausgelöst und Informationen bereitgestellt, um den Untersuchungsprozess zu beschleunigen.

Der Workflow kann ein Ticket in Jira erstellen oder den Alarm an ein SOAR-/SIEM-Tool weiterleiten, zusammen mit von Cyera aggregierten Informationen wie einer Beschreibung des Problems, gefährdeten Datenspeichern, Umfang und Art der betroffenen Daten, Datenverantwortlichen, Benutzerzugriff und mehr. Nachdem Sie die Informationen überprüft haben, können Sie die von Cyera bereitgestellten Anleitungen zur Behebung nutzen, um den Vorfall schnell zu lösen.

Vorteile von Multi-Cloud-DDR

Der Vorteil von Multi-Cloud-DDR besteht darin, dass Sie Vorfälle schnell erkennen und darauf reagieren können:

• Schnelle Erkennung: Die Fähigkeit, einen Vorfall schnell zu identifizieren, ist entscheidend, um den Schaden, den Angreifer anrichten können, zu minimieren. Wenn Kundendaten versehentlich in einen öffentlich zugänglichen Datenspeicher verschoben werden, können Sie rasch handeln, um den Zugriff zu sperren, bevor Außenstehende die offengelegten Daten entdecken.
• Reduzierung von Fehlalarmen: Mit priorisierten Warnmeldungen können Sie sich auf die wirklich wichtigen Vorfälle konzentrieren und erhalten umsetzbaren Kontext zu den Risiken und dem Ausmaß der Gefährdung Ihrer sensiblen Daten.
• Vereinfachte Vorfallreaktion: Informationen zum Vorfall und Anleitungen zur Behebung sind jederzeit griffbereit. Mit nur wenigen Klicks kann ein Workflow die Zuständigkeiten an das richtige Team über die bevorzugten Kanäle delegieren, zum Beispiel über Jira oder Slack.

Kickoff Multi-Cloud-DDR mit Cyera

Die Sicherung von Daten ist komplex. Daten sind ständig in Bewegung und verändern sich. Die Umgebungen, in denen die Daten gespeichert sind, müssen den Nutzern und Diensten, die Zugriff benötigen, gerecht werden. Diejenigen, die für die Reaktion auf Datenvorfälle verantwortlich sind, können es sich nicht leisten, zu warten, bis die Bedrohung größer wird.

Deshalb ist Multi-Cloud-DDR zunehmend ein wichtiger Bestandteil der Diskussion, wenn es um die Entwicklung Ihrer Datensicherheitsstrategie geht.

Cyera's Datensicherheitsplattform bietet umfassenden Kontext zu Ihren Daten und wendet die richtigen, kontinuierlichen Kontrollen an, um Cyber-Resilienz und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Ansatz für Sicherheit, indem die Gefährdung Ihrer ruhenden und genutzten Daten bewertet und mehrere Verteidigungsschichten angewendet werden. Da Cyera tiefgehenden Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg einsetzt, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofortige Maßnahmen zu ergreifen, um Gefährdungen zu beheben und die Einhaltung von Vorschriften sicherzustellen – ohne den Geschäftsbetrieb zu stören.

Erfahren Sie, wie Multi-Cloud-DDR für Sie funktionieren kann, indem Sie noch heute eine Demo vereinbaren.