Detección y respuesta de datos en múltiples nubes con Cyera

Apr 24, 2023
Share

Cuando un ataque está en marcha, no te quedas esperando a ver qué daños adicionales se pueden causar. Actúas.

Desafortunadamente para muchas empresas, la capacidad de detectar una violación de datos puede llevar semanas, meses o incluso años. Según IBM, el tiempo promedio para detectar una violación es 277 días, o aproximadamente 9 mesesEste retraso en la detección de un incidente da a los atacantes tiempo suficiente para explorar la inmensidad del entorno al que han accedido y descubrir qué otros datos valiosos abundan.

T-Mobile, el segundo operador de telefonía móvil más grande de Estados Unidos, tardó más de un mes en descubrir que se había producido una filtración de datos. Y para entonces, datos de más de 37 millones de clientes fueron robados.

Como era de esperar, los atacantes no se detendrán una vez que hayan encontrado los datos iniciales. Continuarán extrayendo datos mientras el acceso permanezca abierto. Toyota Motor Corporate descubrió que un La clave de acceso estuvo disponible públicamente durante casi cinco años., exponiendo la información personal identificable de los clientes durante ese tiempo.

Presentación de la detección y respuesta de datos en múltiples nubes

Si bien el control postural y la prevención son áreas de enfoque esenciales, también querrá estar preparado para reaccionar y hacerlo rápidamente. Ingrese Detección y respuesta de datos (DDR) en múltiples nubes.

La razón por la que se utiliza DDR en múltiples nubes es para brindar protección contra exposiciones de datos, cambios de configuración, accesos no autorizados a datos y filtraciones de datos a medida que ocurren. Todos estos eventos podrían indicar una brecha de seguridad de datos.

La detección temprana es clave para ayudarle a minimizar el radio de explosión de un incendio. violación de datosUna vez que los atacantes obtienen las credenciales para acceder al sistema, necesitan tiempo para encontrar, extraer y monetizar sus esfuerzos, en caso de que decidan vender las credenciales o los datos en sí.

Por qué es importante el DDR multi-nube

Equilibrar los enfoques proactivos y reactivos.

Combinamos lo mejor de ambos mundos, lo que permite enfoques tanto proactivos como reactivos.

Gestión de la postura de seguridad de datos (DSPMSe trata de ser proactivo identificando vulnerabilidades, exposiciones y otros riesgos para los datos en todo su entorno de datos. Una vez que tenga una visión completa de los riesgos de sus datos, estará en posición de reducir la superficie de ataque antes de que surjan problemas.

Pero la prevención no siempre es posible.

Imaginemos un almacén de datos que acaba de restaurarse a partir de una instantánea. Este almacén contiene datos confidenciales, pero estos no están cifrados. O bien, datos confidenciales de SharePoint, destinados únicamente al uso interno, se comparten externamente con un tercero no autorizado o con una cuenta personal de Gmail. A medida que se producen estos incidentes, la recuperación ante desastres en la nube múltiple puede detectarlos rápidamente para su investigación y corrección.

Ampliando la cobertura

Solo puedes proteger los datos que ves. Adoptamos un enfoque integral y unificado para la gestión de riesgos de datos en entornos multi-nube. Por eso, monitorizamos los eventos en entornos SaaS, IaaS y PaaS.

Las plataformas en la nube son altamente escalables, lo que permite a los usuarios acceder a sus recursos desde prácticamente cualquier lugar, incluyendo la gran cantidad de datos confidenciales que almacenan. En consecuencia, pueden existir vulnerabilidades que expongan datos confidenciales debido a configuraciones incorrectas y accesos excesivamente permisivos. La gestión de riesgos de datos en múltiples nubes (DDR) puede detectar configuraciones incorrectas que permitan el acceso público o cuando el registro de eventos está desactivado, lo que podría dejar incidentes de seguridad sin detectar.

Contextualizar los incidentes

La gestión de riesgos en múltiples nubes (DDR) funciona analizando los eventos generados en distintos entornos de nube. A simple vista, un evento puede no revelar mucha información. Por eso, el contexto de los datos es fundamental. El contexto nos proporciona la información que hay detrás del evento, lo que nos permite determinar con mayor precisión su riesgo y reducir las alertas innecesarias.

Supongamos que un repositorio de datos con información de diagnóstico se vuelve ampliamente accesible. ¿Existe algún riesgo asociado a esta mayor exposición y debería activarse una alerta?

El contexto del entorno nos proporciona información sobre el repositorio de datos: que está ampliamente expuesto, pero que también pertenece al líder del equipo de ciencia de datos. Podemos deducir que los científicos de datos probablemente necesitarán ejecutar modelos con estos datos.

El contexto de los datos nos indica que, de hecho, son sintéticos. Se generaron para imitar datos reales sin exponer información real de los clientes, con el fin de entrenar modelos de IA más precisos.

El contexto relativo al propietario de los datos (científico de datos) y a la representación de los mismos (datos sintéticos) sugiere que los datos de diagnóstico no presentan un alto riesgo. Por lo tanto, no deberían activar una alerta.

Puesta en práctica de la detección y respuesta de extremo a extremo.

Un panorama de datos cada vez más extenso conlleva un aumento en las herramientas, los procesos y el personal necesarios para gestionarlo. Cuando las herramientas aisladas generan alertas superficiales, se crea ruido que distrae a los equipos del SOC de los problemas críticos. La falta de visibilidad y comunicación entre personas y procesos retrasa el tiempo medio de respuesta (MTTR).

Por eso, una capacidad necesaria de DDR multi-nube es la interoperabilidad entre su pila tecnológica existente.

Las credenciales se consideran información altamente sensible y deben cifrarse. Sin embargo, pueden quedar expuestas si se almacenan en texto plano. Con una política de cifrado implementada, el sistema DDR multi-nube puede detectar las infracciones de dicha política. Proporciona una alerta sobre el incidente, junto con información para agilizar el proceso de investigación.

El flujo de trabajo puede generar un ticket en Jira o enviar la alerta a una herramienta SOAR/SIEM, junto con información agregada por Cyera, como la descripción del problema, los almacenes de datos en riesgo, el volumen y el tipo de datos afectados, el propietario de los datos, el acceso de los usuarios y más. Una vez revisada la información, puede utilizar la guía de remediación proporcionada por Cyera para resolver rápidamente el incidente.

Beneficios de DDR en la nube múltiple

La ventaja de la gestión de desastres en la nube múltiple radica en su capacidad para permitirle identificar y responder rápidamente a los incidentes:

  • Detección rápida: La capacidad de identificar rápidamente cuándo ocurre un incidente es vital para reducir el daño que los atacantes pueden causar. Cuando los datos de los clientes se transfieren accidentalmente a un repositorio de datos de acceso público, puede actuar con rapidez para bloquear el acceso antes de que personas ajenas descubran los datos expuestos.
  • Reducción de falsos positivos: Con las alertas priorizadas, puede centrarse en los incidentes importantes y disponer de información útil sobre los riesgos y el alcance de sus datos confidenciales.
  • Respuesta optimizada ante incidentes: Toda la información sobre el incidente y las directrices para su solución están disponibles al instante. Con solo unos clics, un flujo de trabajo puede delegar responsabilidades al equipo adecuado a través de los canales que prefieran, ya sea Jira o Slack, por ejemplo.

Inicia el DDR multicloud con Cyera

La protección de datos es compleja. Los datos están en constante movimiento y cambio. Los entornos que los albergan deben adaptarse a los usuarios y servicios que requieren acceso. Quienes son responsables de responder a incidentes de seguridad de datos no pueden permitirse el lujo de esperar a que la amenaza se agrave.

Por eso, la gestión de riesgos y entrega de datos en la nube múltiple se ha convertido cada vez más en una parte vital del debate a la hora de formular una estrategia de seguridad de datos.

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Venga a ver cómo la DDR multi-nube puede funcionar para usted. Programar una demostración hoy.

Share