Detección y respuesta de datos en múltiples nubes con Cyera

Cuando un ataque está en curso, no te quedas esperando a ver qué daño adicional puede hacerse. Tomas acción.

Lamentablemente, para muchas empresas, la capacidad de detectar una filtración de datos puede tardar semanas, meses o incluso años. Según IBM, el tiempo promedio para detectar una filtración es de 277 días, o aproximadamente 9 meses. Esta demora en detectar un incidente les da a los atacantes tiempo de sobra para explorar la amplitud del entorno al que han obtenido acceso y descubrir qué otros datos valiosos abundan.

A T-Mobile, el segundo operador inalámbrico más grande de Estados Unidos, le tomó más de un mes descubrir que había ocurrido una violación de datos. Y para entonces, los datos de más de 37 millones de clientes habían sido robados.  

Predeciblemente, los atacantes no se detendrán una vez que se topen con el depósito inicial de datos. Continuarán exfiltrando información mientras el acceso permanezca abierto. Toyota Motor Corporate descubrió que una clave de acceso estuvo disponible públicamente durante casi cinco años, exponiendo PII de clientes durante ese tiempo.

Presentación de la Detección y Respuesta de Datos Multinube

Si bien la gestión de postura y la prevención son áreas de enfoque esenciales, también querrás estar preparado para reaccionar y hacerlo con rapidez. Entra detección y respuesta de datos multicloud (DDR). 

La razón por la que tienes DDR multinube es habilitar la protección contra exposiciones de datos, cambios de configuración, accesos no autorizados a los datos y eventos de exfiltración de datos a medida que ocurren. Todos estos eventos podrían indicar una violación de datos.

La detección temprana es clave para ayudarte a minimizar el radio de impacto de una violación de datos. Una vez que los atacantes obtienen credenciales para ingresar, necesitan tiempo para encontrar, extraer y monetizar sus esfuerzos, ya sea que decidan vender las credenciales o los propios datos.

Por qué importa Multi Cloud DDR 

Equilibrar enfoques proactivos y reactivos

Combinamos lo mejor de ambos mundos, lo que permite enfoques tanto proactivos como reactivos.

La administración de la postura de seguridad de datos (DSPM) consiste en ser proactivo al identificar vulnerabilidades, exposiciones y otros riesgos para los datos en todo tu panorama de datos. Una vez que tienes una visión completa de tus riesgos de datos, estás en posición de reducir la superficie de ataque antes de que los problemas comiencen a aflorar.

Pero la prevención no siempre es posible. 

Imagina un almacén de datos que acaba de restaurarse a partir de una instantánea. El almacén de datos contiene información sensible, pero a esa información le falta cifrado. O bien, datos sensibles en un SharePoint, destinados solo para uso interno, se comparten externamente con un tercero no aprobado o con una cuenta personal de Gmail. A medida que se desarrollan estos eventos, DDR multicloud puede marcar rápidamente el incidente para su investigación y remediación.

Ampliar la cobertura

Solo puedes proteger los datos que ves. Adoptamos un enfoque holístico y unificado para la DDR multicloud. Por eso monitoreamos eventos en entornos SaaS, IaaS y PaaS.

Las plataformas en la nube son altamente escalables, lo que permite que usuarios prácticamente desde cualquier lugar accedan a sus recursos, incluidos los grandes volúmenes de datos sensibles que almacenan. En consecuencia, pueden existir vulnerabilidades que expongan datos sensibles debido a errores de configuración y accesos con permisos excesivos. Un DDR multicloud puede alertar cuando hay una mala configuración que permite el acceso público o cuando el registro de eventos está desactivado, lo que podría dejar incidentes de seguridad sin detectar.

Contextualización de incidentes

DDR multinube funciona analizando eventos generados en distintos entornos de nube. A simple vista, un evento puede no decirnos mucho. Pero por eso el contexto de los datos importa. El contexto nos da la historia detrás del evento para poder determinar su riesgo con mayor precisión y reducir las alertas ruidosas.

Supongamos que un almacén de datos con información de diagnóstico se vuelve ampliamente accesible. ¿Existe riesgo asociado con la mayor exposición y debería eso activar una alerta?

El contexto sobre el entorno nos brinda información acerca del almacén de datos: que está ampliamente expuesto, pero que también pertenece al líder de ciencia de datos. Podemos deducir que los científicos de datos probablemente necesitarán ejecutar modelos con estos datos.

El contexto sobre los datos nos indica que, de hecho, son sintéticos. Se generaron para imitar datos reales sin exponer información de clientes, con el fin de entrenar modelos de IA más precisos.

El contexto sobre el propietario de los datos (científico de datos) y la representación de los datos (datos sintéticos) sugiere que los datos de diagnóstico no son de alto riesgo. Como resultado, no deberían activar una alerta.

Operacionalizar la detección y respuesta de extremo a extremo

Un panorama de datos en crecimiento se correlaciona con un aumento de las herramientas, procesos y personas necesarios para gestionarlo. Cuando las herramientas en silos generan alertas superficiales, terminan creando ruido que distrae a los equipos del SOC de los problemas críticos. La falta de visibilidad y comunicación entre las personas y los procesos retrasa el tiempo medio de respuesta (MTTR).

Por eso, una capacidad indispensable de un DDR multicloud es la interoperabilidad con tu pila tecnológica existente. 

Las credenciales se consideran información altamente sensible y deben cifrarse. Sin embargo, las credenciales pueden quedar expuestas cuando se almacenan en texto plano. Con una política de cifrado implementada, DDR multicloud puede señalar cuando ocurre una violación de la política. Proporciona una alerta del incidente, junto con información para agilizar el proceso de investigación.

El flujo de trabajo puede generar un ticket en Jira o pasar la alerta a una herramienta SOAR/SIEM, junto con la información agregada por Cyera, como la descripción del problema, los almacenes de datos en riesgo, el volumen y tipo de datos afectados, el propietario de los datos, el acceso de usuarios y más. Una vez que hayas revisado la información, puedes utilizar la guía de remediación proporcionada por Cyera para resolver rápidamente el incidente.

Beneficios de Multi Cloud DDR

La ventaja del DDR multinube es su capacidad para permitirte identificar y responder rápidamente a incidentes:

• Detección rápida: La capacidad de identificar con rapidez cuándo ocurre un incidente es vital para reducir el daño que los atacantes pueden causar. Cuando los datos de clientes se mueven accidentalmente a un almacén de datos de acceso público, puedes actuar de inmediato para cerrar el acceso antes de que terceros descubran la información expuesta.
• Reducción de falsos positivos: Con alertas priorizadas, puedes enfocarte en los incidentes que importan y contar con contexto procesable sobre los riesgos y el radio de impacto de tus datos sensibles.
• Respuesta a incidentes optimizada: La información sobre el incidente y la orientación para la remediación están disponibles al alcance de tu mano. Con unos cuantos clics, un flujo de trabajo puede delegar responsabilidades al equipo adecuado por los canales que prefieran, ya sea a través de Jira o Slack, por ejemplo.

Inicio de Multi Cloud DDR con Cyera

Proteger los datos es complejo. Los datos siempre se están moviendo y cambiando. Los entornos que alojan los datos deben adaptarse a los usuarios y servicios que requieren acceso. Quienes son responsables de responder a incidentes de datos no pueden darse el lujo de esperar hasta que la amenaza crezca.

Por eso, el DDR multicloud se ha vuelto cada vez más una parte vital de la conversación al formular tu estrategia de seguridad de datos.

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tus datos y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso, y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de datos de manera holística en todo tu panorama de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y asegurar el cumplimiento sin interrumpir el negocio.

Ven a ver cómo DDR multicloud puede funcionar para ti programando una demostración hoy.