O que é detecção e resposta de dados (DDR)?

Ao contrário de outras ferramentas de data loss prevention (DLP) que monitoram a infraestrutura de rede e os endpoints em busca de sinais de atividades suspeitas, as ferramentas de DDR se concentram nos próprios dados, rastreando sua movimentação e atividade.

Projetado como uma abordagem proativa para a segurança na nuvem, o DDR detecta ameaças cibernéticas para dados que estão em repouso ou em movimento em tempo real. Ela também automatiza a resposta a ataques cibernéticos para que violações de dados, ataques de ransomware e outras tentativas de exfiltração possam ser contidas no momento em que acontecem.

As soluções de DDR são importantes porque ajudam a lidar com as vulnerabilidades dos dados em nuvem distribuídos em várias plataformas, aplicações, armazenamentos de dados e ambientes de software como serviço (SaaS).

A natureza aberta e interconectada da computação em nuvem pode colocar informações sigilosas em risco, como dados de clientes, informação de identificação pessoal (PII) e dados financeiros.

O relatório do custo das violações de dados da IBM descobriu que 40% das violações de dados envolvem dados armazenados em vários ambientes. Dados roubados de nuvens públicas tiveram o maior custo médio de violação, chegando a US$ 5,17 milhões.

Com a expansão das regulamentações de privacidade de dados e o grande aumento dos custos globais de violações de dados, estratégias eficazes de segurança de dados na nuvem são uma necessidade empresarial.

Soluções de segurança, como detecção e resposta de endpoint (EDR), detecção e resposta estendidas (XDR) e firewalls, protegem contra ameaças de dados nos níveis de rede e dispositivo. No entanto, como os perímetros de rede geralmente são porosos em redes conectadas à nuvem, essas medidas de segurança fornecem proteção limitada quando os dados viajam ou existem simultaneamente em vários sistemas.

Já a DDR opera além dos perímetros da rede. Ela monitora e protege os próprios dados, independentemente da localização.

Usando a descoberta e a classificação de dados, a DDR identifica a localização de dados sigilosos, rastreando o movimento e o uso dos dados em ambientes multinuvem.

Recursos de análise de dados avançada e detecção de anomalias permitem que as ferramentas de DDR identifiquem atividades mal-intencionadas de dados ou comportamentos de usuários. Por exemplo, acesso não autorizado, downloads maciços de informações, transferências de dados tarde da noite ou um lidar com de um local incomum podem sinalizar um ataque cibernético.

A DDR é normalmente implementada como parte de um sistema de gerenciamento de postura de segurança de dados (DSPM). O DSPM fornece uma visão centralizada de ameaças potenciais nos ambientes de nuvem de uma organização. A DDR fornece proteção de dados em tempo real para detectar e responder a essas ameaças.

As organizações também podem integrar a DDR a outras ferramentas de segurança, como soluções de gerenciamento de postura de segurança em nuvem (CSPM); orquestração, automação e resposta de segurança (SOAR); gerenciamento de eventos e informações de segurança (SIEM) e de gerenciamento de riscos.

Existem quatro componentes principais para uma solução de detecção e resposta de dados:

A exfiltração de dados é a transferência não autorizada de informações dos sistemas internos de uma organização. Por exemplo, um funcionário pode tentar fazer download de propriedade intelectual ou segredos comerciais antes de trocar a empresa por um concorrente. Ou um cibercriminoso pode roubar dados pessoais que podem ser usados para cometer fraudes de cartões de crédito.

A DDR evita a exfiltração monitorando e detectando atividades de dados suspeitas em tempo real. Sua funcionalidade de resposta automática pode bloquear downloads de dados maliciosos antes que eles aconteçam e alertar as equipes de segurança para tomarem providências adicionais.

Ameaças internas podem ser difíceis de detectar porque se originam de usuários autorizados de uma organização, como funcionários, prestadores de serviços e parceiros de negócios. Às vezes, credenciais legítimas podem ser roubadas e usadas por cibercriminosos.

Quanto mais tempo uma ameaça interna fica sem detecção, maiores são os estragos causados por meio do roubo ou da manipulação de dados para fins maliciosos.

A DDR oferece uma vantagem para detectar ameaças internas mais rápido do que as soluções tradicionais. Em vez de detectar o roubo de dados depois que ele acontece, ela pode identificar os primeiros sinais de alerta de ameaças internas. Por meio de análise de dados comportamental e detecção de anomalias, a DDR identifica comportamentos suspeitos de usuários autorizados, dispara alertas de segurança e responde a ameaças antes ou no momento em que elas ocorrem.

Ransomware é um malware que criptografa os dados confidenciais de uma organização e os mantém como reféns até que um resgate seja pago. É uma das formas mais comuns de software malicioso e pode custar milhões de dólares às organizações afetadas. De acordo com o relatório do custo das violações de dados, os ataques de ransomware custam às organizações US$ 4,91 milhões, em média.

A DDR pode mitigar ataques de ransomware monitorando e identificando anomalias no acesso a dados e na atividade de dados em tempo real.

Por exemplo, ele pode detectar a criptografia inesperada de grandes volumes de informações, o que geralmente indica um ataque de ransomware. Com isso, a DDR pode isolar de forma automática o sistema afetado para conter o ataque e alertar as equipes de segurança para que tomem outras providências.

As organizações estão sob pressão para cumprir as regulamentações de proteção de dados, como a Payment Card Industry Data Security Standard (PCI-DSS) e o Regulamento Geral de Proteção de Dados (GDPR). O não cumprimento dessas exigências pode acarretar multas, sanções e danos à reputação da marca.

A DDR ajuda as organizações a gerenciar a conformidade de dados monitorando continuamente os dados, realizando auditorias de dados e rastreando registros de acesso. Essa funcionalidade ajuda as organizações a mapear seus recursos de proteção de dados para os requisitos regulatórios. Quaisquer lacunas na proteção ou possíveis violações podem ser abordadas e corrigidas rapidamente.