Détection et réponse aux données multi-cloud avec Cyera

Lorsqu'une attaque est en cours, vous n'attendez pas de voir quels autres dégâts pourraient être causés. Vous agissez.

Malheureusement, pour de nombreuses entreprises, la capacité à détecter une violation de données peut prendre des semaines, des mois, voire des années. Selon IBM, le délai moyen pour détecter une violation est de 277 jours, soit environ 9 mois. Ce retard dans la détection d’un incident laisse aux attaquants tout le temps nécessaire pour explorer l’étendue de l’environnement auquel ils ont accédé et découvrir quelles autres données précieuses s’y trouvent.

Il a fallu plus d'un mois à T-Mobile, le deuxième plus grand opérateur mobile des États-Unis, pour découvrir qu'une violation de données avait eu lieu. Et à ce moment-là, les données de plus de 37 millions de clients avaient déjà été volées.

Comme on pouvait s'y attendre, les attaquants ne s'arrêtent pas une fois qu'ils ont mis la main sur la première mine de données. Ils continueront à exfiltrer des données tant que l'accès restera ouvert. Toyota Motor Corporate a découvert qu'une clé d'accès a été rendue publiquement disponible pendant près de cinq ans, exposant ainsi les informations personnelles des clients durant cette période.

Présentation de la détection et de la réponse aux données multi-cloud

Si la gestion de la posture et la prévention sont des axes essentiels, il est également important d’être prêt à réagir, et ce, rapidement. C’est là qu’intervient la détection et réponse aux données multi-cloud (DDR).

La raison pour laquelle vous disposez d'un DDR multi-cloud est de permettre la protection contre les expositions de données, les modifications de configuration, les accès non autorisés aux données et les événements d'exfiltration de données au fur et à mesure qu'ils se produisent. Tous ces événements peuvent indiquer une violation de données.

La détection précoce est essentielle pour vous aider à limiter l'ampleur d'une violation de données. Une fois que des attaquants obtiennent des identifiants pour s'introduire, ils ont besoin de temps pour localiser, extraire et monétiser leurs actions, que ce soit en vendant les identifiants ou les données elles-mêmes.

Pourquoi le Multi Cloud DDR est important 

Équilibrer les approches proactives et réactives 

Nous combinons le meilleur des deux mondes, ce qui permet d'adopter à la fois des approches proactives et réactives.

La gestion de la posture de sécurité des données (DSPM) consiste à adopter une approche proactive en identifiant les vulnérabilités, les expositions et autres risques liés aux données dans l’ensemble de votre environnement de données. Une fois que vous avez une vision complète des risques pesant sur vos données, vous êtes en mesure de réduire la surface d’attaque avant que les problèmes n’apparaissent.

Mais la prévention n'est pas toujours possible.

Imaginez un magasin de données qui vient d'être restauré à partir d'un instantané. Le magasin de données contient des données sensibles, mais celles-ci ne sont pas chiffrées. Ou bien, des données sensibles dans un SharePoint, destinées uniquement à un usage interne, sont partagées à l'extérieur avec un tiers non approuvé ou une adresse gmail personnelle. Lorsque de tels événements se produisent, la DDR multi-cloud peut rapidement signaler l'incident pour enquête et remédiation.

Élargir la couverture

Vous ne pouvez protéger que les données que vous voyez. Nous adoptons une approche holistique et unifiée de la DDR multi-cloud. C'est pourquoi nous surveillons les événements dans les environnements SaaS, IaaS et PaaS.

Les plateformes cloud sont hautement évolutives, permettant aux utilisateurs d'accéder à leurs ressources depuis pratiquement n'importe où, y compris aux grandes quantités de données sensibles qu'elles stockent. Par conséquent, il peut exister des vulnérabilités qui exposent des données sensibles en raison de mauvaises configurations ou d'autorisations d'accès trop larges. Le DDR multi-cloud peut signaler lorsqu'une mauvaise configuration permet un accès public ou lorsque la journalisation est désactivée, ce qui pourrait laisser des incidents de sécurité non détectés.

Contextualisation des incidents

La DDR multi-cloud fonctionne en analysant les événements générés à travers les environnements cloud. À première vue, un événement ne nous apprend pas grand-chose. Mais c'est là que le contexte des données prend toute son importance. Le contexte nous donne l'histoire derrière l'événement, ce qui nous permet d'évaluer plus précisément son niveau de risque et de réduire les alertes inutiles.

Supposons qu'un magasin de données contenant des données de diagnostic devienne largement accessible. Y a-t-il un risque lié à cette exposition accrue et cela devrait-il déclencher une alerte ?

Le contexte de l'environnement nous informe sur le magasin de données : il est largement exposé, mais il appartient également au responsable des data scientists. On peut en déduire que les data scientists auront probablement besoin d'exécuter des modèles sur ces données.

Le contexte concernant les données nous indique qu'il s'agit en réalité de données synthétiques. Elles ont été générées pour imiter des données réelles sans exposer de véritables données clients, afin d'entraîner des modèles d'IA plus précis.

Le contexte concernant le propriétaire des données (data scientist) et la représentation des données (données synthétiques) suggère que les données de diagnostic ne présentent pas de risque élevé. Par conséquent, cela ne devrait pas déclencher d’alerte.

Opérationnaliser la détection et la réponse de bout en bout

Un paysage de données en expansion s'accompagne d'une augmentation des outils, des processus et des personnes nécessaires pour le gérer. Lorsque des outils cloisonnés génèrent des alertes superficielles, cela crée du bruit qui détourne l'attention des équipes SOC des problèmes critiques. Le manque de visibilité et de communication entre les personnes et les processus retarde le délai moyen de réponse (MTTR).

C'est pourquoi une capacité essentielle du DDR multi-cloud est l'interopérabilité avec votre pile technologique existante.

Les identifiants sont considérés comme des informations hautement sensibles et doivent être chiffrés. Cependant, ils peuvent être exposés lorsqu'ils sont stockés en clair. Avec une politique de chiffrement en place, le DDR multi-cloud peut signaler toute violation de cette politique. Il fournit une alerte concernant l'incident, ainsi que des informations pour accélérer le processus d'enquête.

Le workflow peut créer un ticket dans Jira ou transmettre l’alerte à un outil SOAR/SIEM, accompagné des informations agrégées par Cyera telles que la description du problème, les magasins de données à risque, le volume et le type de données impactées, le propriétaire des données, l’accès utilisateur, et plus encore. Une fois que vous avez examiné les informations, vous pouvez utiliser les recommandations de remédiation fournies par Cyera pour résoudre rapidement l’incident.

Avantages du DDR Multi Cloud

L'avantage du DDR multi-cloud est sa capacité à vous permettre d'identifier et de réagir rapidement aux incidents :

• Détection rapide : La capacité à identifier rapidement quand un incident se produit est essentielle pour réduire les dommages que les attaquants peuvent infliger. Lorsque les données des clients sont accidentellement déplacées vers un espace de stockage accessible au public, vous pouvez agir rapidement pour fermer l'accès avant que des personnes extérieures ne découvrent les données exposées.
• Réduction des faux positifs : Grâce à la priorisation des alertes, vous pouvez vous concentrer sur les incidents importants et disposer d'un contexte exploitable concernant les risques et l'étendue des impacts sur vos données sensibles.
• Réponse aux incidents simplifiée : toutes les informations sur l’incident et les recommandations de remédiation sont accessibles en un clin d’œil. En quelques clics, un workflow peut déléguer les responsabilités à la bonne équipe via les canaux de leur choix, que ce soit par Jira, Slack, ou autre.

Lancement de Multi Cloud DDR avec Cyera

La protection des données est complexe. Les données sont en perpétuel mouvement et évolution. Les environnements qui hébergent les données doivent s'adapter aux utilisateurs et aux services qui ont besoin d'y accéder. Les personnes chargées de répondre aux incidents liés aux données ne peuvent pas se permettre d'attendre que la menace prenne de l'ampleur.

C'est pourquoi la DDR multi-cloud est devenue de plus en plus un élément essentiel de la conversation lorsqu'il s'agit d'élaborer votre stratégie de sécurité des données.

La plateforme de sécurité des données de Cyera offre une compréhension approfondie de vos données, en appliquant des contrôles appropriés et continus pour garantir la cyber-résilience et la conformité.

Cyera adopte une approche centrée sur les données en matière de sécurité, évaluant l’exposition de vos données au repos et en cours d’utilisation, et appliquant plusieurs couches de défense. Parce que Cyera applique un contexte approfondi des données de manière globale à l’ensemble de votre environnement de données, nous sommes la seule solution capable de permettre aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose à des risques, et d’agir immédiatement pour remédier aux expositions et garantir la conformité sans perturber l’activité.

Venez découvrir comment la DDR multi-cloud peut fonctionner pour vous en planifiant une démo dès aujourd'hui.