Détection et réponse aux données multicloud avec Cyera

Lorsqu'une attaque est en cours, on n'attend pas de voir quels dégâts supplémentaires peuvent être infligés. On agit.
Malheureusement pour de nombreuses entreprises, la détection d'une violation de données peut prendre des semaines, des mois, voire des années. Selon IBM, le délai moyen de détection d'une violation est de… 277 jours, soit environ 9 moisCe délai dans la détection d'un incident donne aux attaquants tout le temps nécessaire pour explorer l'immensité d'un environnement auquel ils ont accédé et découvrir quelles autres données précieuses il recèle.
Il a fallu plus d'un mois à T-Mobile, le deuxième opérateur de téléphonie mobile aux États-Unis, pour découvrir qu'une fuite de données s'était produite. Et à ce moment-là, données de plus de 37 millions de clients ont été volés.
Comme prévu, les attaquants ne s'arrêteront pas une fois qu'ils auront découvert la première source de données. Ils continueront à exfiltrer des données tant que l'accès restera ouvert. Toyota Motor Corporate a découvert qu'un La clé d'accès a été rendue publique pendant près de cinq ans.exposant ainsi les informations personnelles des clients pendant cette période.
Présentation de la détection et de la réponse aux données multicloud
Bien que la gestion et la prévention des problèmes de posture soient des axes de travail essentiels, il est également important d'être prêt à réagir, et ce rapidement. Détection et réponse aux données multicloud (DDR).
L'objectif d'une solution DDR multicloud est de protéger les données contre les fuites, les modifications de configuration, les accès non autorisés et les exfiltrations, dès leur apparition. Chacun de ces événements peut indiquer une violation de données.
La détection précoce est essentielle pour vous aider à minimiser le rayon d'explosion d'un violation de donnéesUne fois que les attaquants obtiennent les identifiants nécessaires pour s'introduire dans le système, ils ont besoin de temps pour localiser, extraire et monétiser leurs efforts, s'ils décident de vendre les identifiants ou les données elles-mêmes.
Pourquoi Multi Cloud DDR est important
Équilibrer les approches proactives et réactives
Nous combinons le meilleur des deux mondes, ce qui permet des approches à la fois proactives et réactives.
Gestion de la posture de sécurité des données (DSPMIl s'agit d'adopter une approche proactive en identifiant les vulnérabilités, les expositions et autres risques pesant sur vos données. Une fois que vous disposez d'une vision complète de vos risques liés aux données, vous êtes en mesure de réduire la surface d'attaque avant même que les problèmes ne surviennent.
Mais la prévention n'est pas toujours possible.
Imaginez une base de données qui vient d'être restaurée à partir d'un instantané. Cette base contient des données sensibles, mais celles-ci ne sont pas chiffrées. Ou encore, des données sensibles stockées dans SharePoint, destinées à un usage interne uniquement, sont partagées avec un tiers non autorisé ou via un compte Gmail personnel. Face à de tels incidents, une solution DDR multicloud peut les signaler rapidement afin qu'ils soient analysés et corrigés.
Élargir la couverture
On ne peut protéger que les données visibles. Nous adoptons une approche globale et unifiée de la DDR multicloud. C'est pourquoi nous surveillons les événements dans les environnements SaaS, IaaS et PaaS.
Les plateformes cloud sont hautement évolutives, permettant aux utilisateurs d'accéder à leurs ressources, notamment aux vastes quantités de données sensibles qu'elles stockent, depuis quasiment n'importe où. Par conséquent, des vulnérabilités peuvent exposer ces données sensibles en raison de configurations erronées ou d'accès trop permissifs. La surveillance des incidents de sécurité multicloud (DDR) peut signaler les erreurs de configuration autorisant un accès public ou la désactivation de la journalisation, ce qui pourrait laisser des incidents de sécurité indétectables.
Contextualiser les incidents
La DDR multicloud fonctionne en analysant les événements générés dans différents environnements cloud. À première vue, un événement peut sembler anodin. C'est pourquoi le contexte des données est essentiel. Il nous éclaire sur l'événement et nous permet ainsi d'évaluer plus précisément son risque et de réduire les alertes intempestives.
Imaginons qu'une base de données contenant des données de diagnostic devienne largement accessible. Cette exposition accrue présente-t-elle un risque et devrait-elle déclencher une alerte ?
Le contexte environnemental nous renseigne sur le système de stockage des données : il est largement accessible, mais appartient également au responsable de la science des données. On peut en déduire que les data scientists auront probablement besoin d'exécuter des modèles sur ces données.
Le contexte des données indique qu'il s'agit de données synthétiques. Elles ont été générées pour imiter des données réelles sans divulguer les données clients réelles, afin d'entraîner des modèles d'IA plus précis.
Le contexte relatif au propriétaire des données (un data scientist) et à leur représentation (données synthétiques) suggère que les données de diagnostic ne présentent pas de risque élevé. Par conséquent, elles ne devraient pas déclencher d'alerte.
Mise en œuvre opérationnelle de la détection et de la réponse de bout en bout
L'essor des données s'accompagne d'une augmentation des outils, des processus et des effectifs nécessaires à leur gestion. Lorsque ces outils cloisonnés génèrent des alertes superficielles, cela crée un bruit de fond qui détourne l'attention des équipes SOC des problèmes critiques. Le manque de visibilité et de communication entre les personnes et les processus allonge le temps moyen de réponse (MTTR).
C’est pourquoi l’interopérabilité entre votre pile technologique existante est une capacité requise pour le DDR multicloud.
Les identifiants sont considérés comme des informations hautement sensibles et doivent être chiffrés. Cependant, leur stockage en clair les expose. Grâce à une politique de chiffrement, la solution DDR multicloud peut signaler toute violation de cette politique et générer une alerte, accompagnée d'informations permettant d'accélérer l'enquête.
Le processus peut créer un ticket dans Jira ou transmettre l'alerte à un outil SOAR/SIEM, en incluant les informations agrégées par Cyera telles que la description du problème, les bases de données à risque, le volume et le type de données impactées, le propriétaire des données, les accès utilisateurs, etc. Après avoir examiné ces informations, vous pouvez utiliser les recommandations de Cyera pour résoudre rapidement l'incident.
Avantages de la DDR multicloud
L'avantage du DDR multicloud réside dans sa capacité à vous permettre d'identifier et de répondre rapidement aux incidents :
- Détection rapide : La capacité à identifier rapidement un incident est essentielle pour limiter les dégâts causés par les attaquants. Si des données client sont accidentellement transférées vers un entrepôt de données accessible au public, vous pouvez agir rapidement pour en bloquer l’accès avant que des tiers ne découvrent les données exposées.
- Réduction des faux positifs : grâce aux alertes priorisées, vous pouvez vous concentrer sur les incidents importants et disposer d’un contexte exploitable concernant les risques et l’impact sur vos données sensibles.
- Gestion des incidents simplifiée : toutes les informations relatives à l’incident et les recommandations de résolution sont accessibles instantanément. En quelques clics, un flux de travail permet de déléguer les responsabilités à l’équipe compétente via les canaux de communication de son choix, comme Jira ou Slack.
Lancement de Multi Cloud DDR avec Cyera
La protection des données est complexe. Les données sont en perpétuelle évolution. Les environnements qui les hébergent doivent être compatibles avec les utilisateurs et les services qui y ont accès. Les responsables de la gestion des incidents de données ne peuvent se permettre d'attendre que la menace s'aggrave.
C’est pourquoi la DDR multicloud est devenue un élément de plus en plus essentiel de la discussion lorsqu’il s’agit de formuler votre stratégie de sécurité des données.
La plateforme de sécurité des données de Cyera fournit un contexte approfondi sur vos données, en appliquant des contrôles corrects et continus pour assurer la cyber-résilience et la conformité.
Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.
Venez découvrir comment le DDR multicloud peut vous être utile. planifier une démonstration aujourd'hui.



