Detecção e Resposta de Dados Multi Cloud com Cyera

Quando um ataque está em andamento, você não fica esperando para ver que danos adicionais podem ser causados. Você age.

Infelizmente, para muitas empresas, a capacidade de detectar uma violação de dados pode levar semanas, meses ou até anos. De acordo com a IBM, o tempo médio para detectar uma violação é de 277 dias, ou aproximadamente 9 meses. Esse atraso na detecção de um incidente dá aos invasores tempo suficiente para explorar a vastidão de um ambiente ao qual obtiveram acesso e descobrir quais outros dados valiosos existem.

A T-Mobile, a segunda maior operadora de telefonia móvel dos Estados Unidos, levou mais de um mês para descobrir que uma violação de dados havia ocorrido. E nessa altura, dados de mais de 37 milhões de clientes foram roubados.

Previsivelmente, os invasores não vão parar assim que encontrarem o tesouro de dados inicial. Eles continuarão exfiltrando dados enquanto o acesso permanecer aberto. A Toyota Motor Corporate descobriu que uma chave de acesso ficou disponível publicamente por quase cinco anos, expondo informações pessoais identificáveis (PII) de clientes durante esse período.

Apresentando a Detecção e Resposta de Dados Multi Cloud

Embora o gerenciamento de postura e a prevenção sejam áreas de foco essenciais, você também vai querer estar preparado para reagir e fazê-lo rapidamente. É aí que entra a detecção e resposta de dados em multinuvem (DDR).

A razão pela qual você tem DDR multinuvem é para permitir proteção contra exposições de dados, alterações de configuração, acesso não autorizado a dados e eventos de exfiltração de dados conforme eles ocorrem. Todos esses eventos podem indicar uma violação de dados.

A detecção precoce é fundamental para ajudá-lo a minimizar o raio de impacto de uma violação de dados. Uma vez que os invasores obtêm credenciais para entrar, eles precisam de tempo para encontrar, extrair e monetizar seus esforços, caso decidam vender as credenciais ou os próprios dados.

Por que o DDR Multi Cloud é importante

Equilibrando abordagens proativas e reativas

Combinamos o melhor dos dois mundos, permitindo abordagens proativas e reativas.

Data Security Posture Management (DSPM) é sobre ser proativo ao identificar vulnerabilidades, exposições e outros riscos aos dados em todo o seu cenário de dados. Uma vez que você tenha uma visão completa dos riscos de seus dados, você estará posicionado para reduzir a superfície de ataque antes que os problemas comecem a surgir.

Mas a prevenção nem sempre é possível.

Pense em um armazenamento de dados que acabou de ser restaurado de um snapshot. O armazenamento de dados contém dados confidenciais, mas os dados não possuem criptografia. Ou dados confidenciais em um SharePoint, destinados apenas ao consumo interno, são compartilhados externamente com terceiros não aprovados ou com gmail pessoal. À medida que esses eventos ocorrem, o DDR multinuvem pode sinalizar rapidamente o incidente para investigação e correção.

Expandindo a cobertura

Você só pode proteger os dados que vê. Adotamos uma abordagem holística e unificada para DDR em multinuvem. É por isso que monitoramos eventos em ambientes SaaS, IaaS e PaaS.

As plataformas de nuvem são altamente escaláveis, permitindo que usuários de praticamente qualquer lugar acessem seus recursos, incluindo as grandes quantidades de dados confidenciais que armazenam. Consequentemente, pode haver vulnerabilidades que expõem dados confidenciais devido a configurações incorretas e acesso excessivamente permissivo. O DDR multinuvem pode sinalizar quando há uma configuração incorreta que permite acesso público ou quando o registro está desativado, o que poderia deixar incidentes de segurança sem detecção.

Contextualizando incidentes

O DDR multinuvem funciona analisando eventos gerados em ambientes de nuvem. À primeira vista, um evento pode não nos dizer muito. Mas é por isso que o contexto dos dados é importante. O contexto nos fornece a história por trás do evento para que possamos determinar seu risco com mais precisão e reduzir alertas ruidosos.

Digamos que um armazenamento de dados com dados de diagnóstico se torne amplamente acessível. Existe risco associado ao aumento da exposição e isso deveria acionar um alerta?

O contexto sobre o ambiente nos fornece informações sobre o armazenamento de dados – que ele está amplamente exposto, mas que também é de propriedade do líder de cientistas de dados. Podemos deduzir que os cientistas de dados provavelmente precisarão executar modelos com esses dados.

O contexto sobre os dados nos diz que os dados são, de fato, sintéticos. Eles foram gerados para imitar dados reais sem expor dados reais de clientes, a fim de treinar modelos de IA mais precisos.

O contexto sobre o proprietário dos dados (cientista de dados) e a representação dos dados (dados sintéticos) sugere que os dados de diagnóstico não são de alto risco. Como resultado, isso não deve acionar um alerta.

Operacionalizando detecção e resposta de ponta a ponta

Um cenário de dados em crescimento se correlaciona com um aumento nas ferramentas, processos e pessoas necessárias para gerenciá-lo. Quando ferramentas isoladas geram alertas superficiais, isso acaba criando ruído que distrai as equipes de SOC de questões críticas. A falta de visibilidade e comunicação entre pessoas e processos atrasa o tempo médio de resposta (MTTR).

É por isso que uma capacidade necessária do DDR multinuvem é a interoperabilidade entre sua pilha de tecnologia existente.

As credenciais são consideradas informações altamente sensíveis e devem ser criptografadas. No entanto, as credenciais podem ser expostas quando armazenadas em texto simples. Com uma política de criptografia em vigor, o DDR multinuvem pode sinalizar quando ocorre a violação da política. Ele fornece um alerta do incidente, juntamente com informações para agilizar o processo de investigação.

O fluxo de trabalho pode emitir um ticket no Jira ou passar o alerta para uma ferramenta SOAR/SIEM, juntamente com informações agregadas pela Cyera, como descrição do problema, armazenamentos de dados em risco, volume e tipo de dados impactados, proprietário dos dados, acesso de usuários e muito mais. Depois de revisar as informações, você pode utilizar a orientação de remediação fornecida pela Cyera para resolver rapidamente o incidente.

Benefícios do DDR Multi Cloud

A vantagem do DDR multinuvem é sua capacidade de permitir que você identifique e responda rapidamente a incidentes:

• Detecção rápida: A capacidade de identificar rapidamente quando um incidente ocorre é vital para reduzir os danos que os invasores podem causar. Quando os dados do cliente são acidentalmente movidos para um armazenamento de dados publicamente acessível, você pode agir rapidamente para bloquear o acesso antes que pessoas externas descubram os dados expostos.
• Redução de falsos positivos: Com alertas priorizados, você pode se concentrar nos incidentes que importam e ter contexto acionável sobre os riscos e o raio de impacto dos seus dados confidenciais.
• Resposta simplificada a incidentes: Informações sobre o incidente e orientações de correção estão disponíveis ao seu alcance. Com alguns cliques, um fluxo de trabalho pode delegar responsabilidades à equipe certa pelos canais de sua preferência, seja por meio do Jira ou Slack, por exemplo.

Kickoff Multi Cloud DDR com Cyera

Proteger dados é complexo. Os dados estão sempre em movimento e mudando. Os ambientes que abrigam os dados devem acomodar os usuários e serviços que precisam de acesso. Aqueles responsáveis por responder a incidentes de dados não podem se dar ao luxo de esperar até que a ameaça cresça.

É por isso que o DDR multi cloud tem se tornado cada vez mais uma parte vital da conversa quando se trata de formular sua estratégia de segurança de dados.

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar medidas imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Venha ver como o DDR multinuvem pode funcionar para você agendando uma demonstração hoje.