什么是数据安全态势管理 (DSPM)?

数据安全态势管理(DSPM)是一种全面的方法,用于保护组织的敏感数据免遭未经授权的访问、披露、篡改或破坏。DSPM 包含各种安全措施,包括数据分类、数据加密、访问控制、数据丢失防护 (DLP) 和监控。通过实施这些措施,组织可按照要求建立并维护强大的数据安全态势,以满足隐私和安全法规的要求,防止数据泄露,保护品牌声誉。

 

DSPM 解释

数据安全态势管理 (DSPM) 包括安全实践和技术,可应对因敏感数据在不同环境中扩散而产生的安全挑战。作为 数据安全的重要组成部分,DSPM 为组织提供了一种 保护云数据 的方法,无论数据驻留在哪里或转移到哪里,都能确保敏感数据和受监管数据具有正确的安全态势。

DSPM 是一种规范性的、数据优先的方法,用于保护组织在云和本地部署中的数据资产,它优先考虑的是数据的安全,而不仅仅是数据所在的系统。因此,DSPM 是数据安全策略的关键组成部分,特别是在云优先和 云原生环境 中,传统的安全控制措施无法满足需要。

DSPM 技术是云计算的一个新兴趋势,Gartner 在其 2022 年数据安全流行周期中对此进行了报道,该技术可自动检测和保护数据,以应对安全数据管理的首要挑战--可视性。通过 DSPM,组织可以获得关键情报,并具备洞察能力:

  • 敏感数据的位置
  • 谁可以访问
  • 如何使用数据
  • 数据存储或应用程序的安全态势如何
 利用 DSPM 识别、分析和优先保护混合云和多云环境中的数据资源
图 1:利用 DSPM 识别、分析和优先保护混合云和多云环境中的数据资源

DSPM 如何工作

DSPM 利用数据流分析来了解数据在组织内的移动方式,并识别潜在的风险和漏洞。DSPM 流程的关键步骤包括

数据发现

DSPM 首先要对整个组织的数据源进行定位和编目,包括数据库、文件系统、云存储、第三方应用程序等,以帮助组织了解其敏感数据的位置。

数据分类

一旦确定了数据源,DSPM 就会根据敏感性和重要性对数据进行分类。信息是否属于个人身份信息(PII),例如财务数据或知识产权?分类指导数据保护工作的优先次序,并使其符合监管合规性要求。

数据流映射

DSPM 可映射组织基础设施各组成部分(如服务器、数据库和应用程序)之间的敏感数据流。映射有助于组织直观地了解数据是如何被访问、处理和传输的,从而深入了解潜在的薄弱点和漏洞。

风险评估

通过分析数据流,DSPM 可识别潜在的风险和漏洞,如未经授权的访问、数据泄漏或缺乏加密。然后,组织就可以根据调查结果确定安全工作的优先次序,并解决最关键的威胁。

安全控制实施

同时根据风险评估结果,组织可以实施适当的安全控制措施来保护数据。控制措施可能包括加密、访问控制和数据丢失防护(DLP)技术,以确保敏感数据在组织中移动时的安全。

监测和审计

DSPM 可持续监控数据流,以检测异常、潜在威胁和违反政策的情况。定期审计有助于确保安全控制措施的有效性,并确保组织始终遵守数据保护法规。

事件响应和补救

在发生安全事件时,DSPM 可提供必要的信息,以快速识别受影响的数据、评估漏洞范围并实施补救措施,从而将影响降至最低。

数据发现、分类和访问管理
图 2:数据发现、分类和访问管理

通过利用数据流分析,DSPM 使组织能够全面了解其敏感数据如何在基础设施内移动和交互。通过这种了解,企业可以识别和应对潜在风险,确保保护其宝贵的数据资产并保持监管合规性。

 

数据安全态势管理的重要性

DSPM 的重要性怎么强调都不为过,因为它能积极应对组织在当今数据驱动的世界中所面临的关键挑战和潜在后果。

如果不实施 DSPM,组织就会面临安全威胁,使宝贵的数据资产处于危险之中。数据丢失(可能涉及敏感信息、知识产权和商业机密的丢失)会损害品牌声誉,通常会造成长期影响。如果不优先考虑 DSPM,组织就很难有效地分配资源,特别是在动态威胁环境中保持快速反应。信息技术、安全和业务小组之间的协作中断,导致目标不一致和次优的安全实践。

反之,如果认识到 DSPM 的重要性并将其纳入流程,组织就可以创建具有凝聚力的策略来应对挑战。DSPM 在降低数据安全风险和业务成果方面发挥着至关重要的作用。

具有分布式数据的多云架构对攻击面的影响
图 3:具有分布式数据的多云架构对攻击面的影响

 

DSPM 功能

根据 Gartner 的预测,"到 2026 年,由于迫切需要找到以前未知的数据存储库及其地理位置,以帮助降低安全和隐私风险,超过 20% 的组织将部署 DSPM"。

全面数据发现

DSPM 工具通过扫描云环境和本地数据存储来定位数据资产并对其进行编目,在发现影子数据以及使组织能够了解和应对其攻击面方面发挥着至关重要的作用。

影子数据指的是在组织官方 IT 系统之外创建、存储和处理的信息,通常是在 IT 部门不知情或未经其同意的情况下创建、存储和处理的。通过在 DSPM 中纳入数据发现功能,组织可以识别和定位整个基础架构中的影子数据源--无论是未经授权的云服务、个人设备还是第三方应用程序。

获得对组织所拥有的所有信息(包括影子数据)的可见性,对于了解数据状况以及在整个领域实施加密、访问控制、数据丢失防护(DLP)和其他适当的安全控制至关重要。

数据分类优势

DSPM 中的主动数据分类流程使组织能够通过有针对性的方法,将安全资源集中用于最关键的信息资产,确保敏感数据得到适当级别的保护。

数据分类还有助于组织遵守数据保护法规,因为不同类型的数据可能需要特定的安全控制来保持合规性。通过了解数据的敏感性和监管要求,组织可以实施定制措施。

准入管理

准入管理是 DSPM 的一个主要特点。它涉及管理谁有权访问哪些数据,并确保根据 最低权限原则授予访问权,即个人只能访问他们履行工作职能所需的数据。DSPM 通过提供访问控制的可见性和识别过度或不当访问的实例,帮助组织执行这一原则。

漏洞和配置错误检测与修复

DSPM 的一个关键优势在于其风险检测能力。通过持续扫描数据库、文件系统和云存储等各种数据源,DSPM 工具可以发现隐藏的漏洞和配置错误,这些漏洞和配置错误可能会使敏感数据面临未经授权的访问或泄漏。

DSPM 可以检测异常用户行为、访问模式和数据移动,这可能预示着潜在的内部威胁或外部攻击。通过提供实时警报和可操作的洞察力,DSPM 解决方案使组织能够快速应对新出现的风险,并在数据泄露发生之前加以防范。

视频 1:了解 QlikTech 如何在责任共担模式下解决客户数据安全问题。

合规性支持

不遵守 GDPR、HIPAA 和 CCPA 等数据保护法规将被处以巨额罚款和处罚。通过提供数据资产和安全控制的可视性,DSPM 可帮助组织达到监管标准,并证明其符合 PCI DSS 和其他数据保护法规。它们还可以监控违规行为,并提醒安全小组需要解决的问题。

静态风险分析

DSPM 工具使用静态风险分析来识别潜在的数据风险。这包括分析静态数据,以识别敏感信息,评估其风险等级,并确定其是否得到了充分保护。通过识别数据风险,组织可以确定安全工作的优先次序,并采取行动降低这些风险。

政策控制

DSPM 提供策略控制功能,允许组织定义安全策略,明确规定应如何保护数据以及谁应有权访问数据。然后,DSPM 将应用已定义的控制措施(可能包括加密、标记化、访问限制),并在整个组织的数据存储中强制执行,确保一致的数据保护并降低未经授权访问的风险。

 

 DSPM 与 CSPM,它们的重叠之处和不同之处
图 4:DSPM 与 CSPM,它们的重叠之处和不同之处

DSPM 与 CSPM

虽然 DSPM 和 云安全态势管理 (CSPM) 都有助于组织的整体安全态势,但它们涉及信息安全的不同方面。

CSPM 专注于在云计算环境中持续监控、评估和改进组织的安全态势。各组织依靠 CSPM 解决方案来识别和修复基于云的基础设施(如基础设施即服务(IaaS)、平台即服务(PaaS) 和软件即服务(SaaS))中的配置错误、漏洞和合规性违规行为。

CSPM 通常集成到 云原生应用平台 中,利用 API、自动化和机器学习来收集和分析来自各种云资源(包括虚拟机、存储、网络和应用)的数据。他们根据行业标准基准、最佳实践和监管要求(如 CIS、NIST、GDPR 和 HIPAA)来评估这些资源的安全配置和设置。通过识别既定安全基线的偏差,CSPM 解决方案使组织能够确定安全风险的优先级并及时补救。

DSPM 专注于数据本身。CSPM 保护云环境,而 DSPM 则保护环境中的数据。它的许多组件协同工作,识别敏感数据,根据敏感程度对数据进行分类,应用适当的加密和访问控制,并持续监控潜在的数据外泄或未经授权的活动。DSPM 解决方案还提供报告和审计功能,帮助组织跟踪数据使用情况,证明合规性符合监管标准,并确定需要改进的领域。

这两种技术在确保组织关键资产的保密性、完整性和可用性方面都发挥着至关重要的作用,而 CSPM 和 DSPM 的联合实施可以显著增强组织的安全态势。

 

DSPM 使用案例

数据资产目录

有了 DSPM,即使在复杂的多云环境中,组织也能快速定位数据资产并对其进行编目。DSPM 工具还可以根据数据的敏感性对数据进行分类,帮助确定安全工作的优先次序,确保敏感数据得到充分保护。

评估和应对攻击面

通过提供敏感数据所在位置和访问权限的可见性,DSPM 工具有助于识别潜在的攻击载体,并采取措施最大限度地减少攻击面。这可以大大降低数据泄露的风险,并有助于保护组织的声誉。

执行最低特权

组织使用 DSPM 跟踪数据访问权限,并执行最低权限访问原则。DSPM 工具提供了谁能访问哪些数据的可见性,并能识别过度或不当访问的情况--这两者都有助于实施适当的访问控制。

简化多云环境中的数据安全

在多云环境中运行的企业--利用谷歌云、AWS、Azure 和其他云提供商的服务--很快就会遇到跨平台管理数据安全的挑战。DSPM 可提供所有数据资产的统一视图,无论其位于何处,从而简化数据管理流程。许多组织依靠 DSPM 来发现多云环境中的数据并对其进行分类,执行一致的安全策略,并提供数据安全形势的实时可见性。

在云优先策略中加强数据保护

对于采用云优先策略的组织来说,DSPM 可以帮助确保数据安全不会在向云过渡的过程中受到影响。DSPM 可以在数据转移到云中时对其进行发现和分类,并识别潜在风险。它还可以实时监控数据,提醒安全小组注意可能预示着安全风险的变化。

实施数据优先方法

对于以数据为先的组织而言,DSPM 可为敏感数据提供顶级保护。这对处理大量敏感数据的组织尤其有利,例如金融或医疗保健行业的组织。DSPM 还能帮助这些组织确保并证明数据保护法规的合规性。

 

 

DSPM 工具和平台

DSPM 平台专为保护敏感数据而设计,提供一系列功能。

  • 数据丢失防护(DLP):DPL 功能包括监测和控制组织内的数据移动,帮助防止未经授权的访问、数据泄露和外泄。
  • 加密:DSPM 解决方案提供数据加密和解密功能,保护静态和传输中的敏感数据。
  • 身份和访问管理(IAM)IAM 功能执行管理用户身份、身份验证和授权的关键任务,确保只有授权用户才能访问敏感数据和资源。
  • 数据屏蔽和匿名化:数据掩码的作用是用虚构数据或加密数据取代敏感数据,从而保护敏感数据,这些数据的结构和格式保持不变,但无法与原始信息联系起来。
  • 安全信息和事件管理(SIEM):SIEM 功能可收集、分析和报告安全事件和事故,以检测威胁、执行取证分析并保持合规性。
  • 数据分类:DSPM 平台可帮助组织识别和分类敏感数据,从而实现更好的控制和保护。

选择合适的 DSPM 解决方案取决于组织的要求和目标。使用分布式 微服务应用程序 的云原生企业通常会选择无缝集成 DSPM 功能的 CNAPP 集中式解决方案。但数据安全态势管理解决方案并不一定放之四海而皆准。

每个组织都应选择符合其独特数据安全需求和监管义务的 DSPM 解决方案。

 

数据安全态势管理常见问题

数据流分析评估数据在系统或软件执行过程中的移动方式。它包括检查变量、存储位置和处理单元之间的数据流,以了解依赖关系、识别潜在问题并优化代码。DevSecOps 团队可将数据流分析应用于不同层面--源代码、中间代码甚至机器代码。它可以帮助开发人员检测死代码、无法访问的代码和未初始化的变量等问题。数据流分析还可以通过揭示冗余、促进并行和实现高效内存使用来帮助优化代码。
数据加密是一种将数据转换成密码形式的安全方法,没有正确的解密密钥就无法读取。该过程使用 AES、RSA 或 DES 等加密算法,将敏感信息转换为密文,防止未经授权的访问,并在传输和静止时保护隐私。
数据丢失防护(DLP)是一套工具和流程,旨在通过监控、检测和阻止使用中、运动中或静止状态下的敏感数据,检测和防止潜在的数据泄露。
访问控制是一种安全技术,用于管理谁或什么人可以查看或使用计算环境中的资源。它包括两个关键部分:验证(确认用户身份)和授权(授予或拒绝访问权限)。
入侵检测和防御系统(IDPS)是一种安全工具,旨在监控网络和系统活动中的恶意行为或违反策略的行为,并相应地报告或阻止这些行为。
安全信息和事件管理(SIEM)是一种全面的解决方案,可汇总和分析 IT 基础架构中各种资源的活动,提供实时分析、事件关联和事件响应。
端点安全是一种在智能手机、笔记本电脑或其他无线设备等远程设备访问网络时确保网络安全的策略。它能识别和管理用户的访问,并确保网络安全,使网络免受这些接入点的潜在威胁。
合规性管理是确保组织的行动遵守监管机构制定的法规和标准的过程。这包括确定适用的合规性、评估当前的合规性、实施控制措施以及建立一个持续合规性监控框架。
威胁情报包括收集和分析有关潜在或当前威胁的信息,为防范网络攻击的决策提供依据。它提供了背景信息,如攻击者、攻击方法和动机,从而能够采取明智的安全措施。
特权访问管理(PAM)是一种对组织内特权用户访问进行严格控制和监控的解决方案。它涉及管理、审计和监控各系统和应用程序的所有权限,以防止未经授权的访问或违规行为。
防火墙管理包括持续监控、配置、更新和维护防火墙,以确保最佳性能和安全性。它能确保防火墙规则的稳健性、合规性,并减轻潜在的安全威胁。
ISO/IEC 27001 是一项国际标准,概述了信息安全管理系统(ISMS)的最佳实践。它为建立、实施、维护和持续改进信息安全提供了一种基于风险的方法。ISO/IEC 27001 适用于所有类型的组织。
NIST SP 800-53 由美国国家标准与技术研究院 (NIST) 制定,为所有美国联邦信息系统(与国家安全相关的信息系统除外)提供了安全和隐私控制目录。它包括专门与云计算相关的控制措施。
NIST 网络安全框架包括管理网络安全相关风险的标准、指南和最佳实践。它被各行各业广泛采用,包括云环境的考虑因素。
CCM 框架由云安全联盟建立,为云提供商和云客户提供特定的安全控制。CCM 涵盖 16 个领域的基本安全原则,包括数据安全和信息生命周期管理。