什么是数据检测和响应 (DDR)？

与其他数据丢失预防 (DLP) 工具（用于监控网络基础设施和端点以查找可疑活动迹象）不同，DDR 工具专注于数据本身，跟踪数据的移动和活动。

作为云安全的前瞻性方法，DDR 可实时检测静态或动态数据面临的网络威胁。它还能自动应对网络攻击，从而在 数据泄露、勒索软件攻击和其他企图外泄行为发生时加以控制。

DDR 解决方案很重要，因为它们有助于解决分布在多个平台、应用程序、数据存储区和软件即服务 (SaaS) 环境中的云数据的漏洞。

云计算的开放和互连特性可能会使客户数据、个人身份信息 (PII) 和财务数据等敏感信息面临风险。

IBM 数据泄露成本报告发现，40% 的数据泄露涉及跨多个环境的数据存储。公有云中窃取的数据造成的平均泄露成本最高，达 5,170 万美元。

随着数据隐私法规的不断扩展，全球数据泄露成本创下历史新高，有效的云数据安全策略已成为企业的当务之急。

端点检测和响应 (EDR)、扩展检测和响应 (XDR) 和防火墙等安全解决方案可在网络和设备层面防范数据威胁。然而，由于云连接网络中的网络边界通常漏洞百出，因此当数据在多个系统中传输或同时存在时，这些安全措施提供的保护有限。

相比之下，DDR 可以在网络边界之外运行。无论数据位于何处，它都能监控和保护数据本身。

使用数据发现和数据分类，DDR 可以精确定位敏感数据的位置。然后，DDR 会跟踪数据在多云环境中的移动和使用情况。

高级分析和异常检测功能使 DDR 工具能够识别恶意数据活动或用户行为。例如，未经授权的访问，大量信息下载，深夜数据传输或来自异常位置的 IP 地址都可能预示着网络攻击。

DDR 通常作为数据安全状况管理 (DSPM) 系统的一部分进行部署。DSPM 提供组织云环境中潜在威胁的集中视图。DDR 提供实时数据保护，以检测和响应这些威胁。

企业还可以将 DDR 与其他安全工具集成，如云安全态势管理 (CSPM)、安全协调、自动化和响应 (SOAR)、安全信息和事件管理 (SIEM) 以及风险管理解决方案。

数据检测和响应解决方案有四个主要组件：

数据渗漏是指未经授权从组织内部系统转移信息。例如，员工可能会在离开公司前往竞争对手之前尝试下载知识产权或商业机密。或者，网络犯罪分子可能会窃取可用于实施信用卡欺诈的个人数据。

DDR 通过实时监控和检测可疑数据活动来防止数据渗漏。其自动响应功能可在恶意数据下载发生之前阻止其发生，并提醒安全团队采取进一步行动。

内部威胁可能很难被发现，因为它们源于组织的授权用户，例如员工、承包商和合作伙伴。有时，合法凭据可能会被网络罪犯窃取和使用。

未能检测到内部威胁的时间越长，通过窃取或操纵数据用于恶意目的所造成的损害就越大。

DDR 可以比传统解决方案更快地检测内部威胁。它可以发现内部威胁的早期预警信号，而不是在数据窃取发生之后才对其进行检测。通过行为分析和异常检测，DDR 可以识别授权用户的可疑行为，触发安全警报，并在威胁发生之前或之后做出响应。

勒索软件是一种恶意软件，会加密并劫持组织的敏感数据以索要赎金。它是最常见的恶意软件形式之一，可能会让受影响的组织损失数百万美元。根据数据泄露成本报告，勒索软件攻击给组织造成的损失平均为 491 万美元。

DDR 可以通过实时监控和识别数据访问和数据活动中的异常来缓解勒索软件攻击。

例如，它可以检测大量信息的意外加密，这通常是勒索软件攻击的信号。然后，DDR 可以自动隔离受影响的系统，以遏制攻击，并提醒安全团队采取进一步行动。

组织面临着遵守数据保护法规的压力，例如支付卡行业数据安全标准 (PCI-DSS) 和《通用数据保护条例》(GDPR)。不遵守这些规定可能会导致罚款、制裁和品牌声誉受损。

DDR 通过持续监控数据、执行数据审计和跟踪访问日志来帮助组织管理数据合规性。此功能可帮助组织将其数据保护功能与监管要求相对应。任何保护措施漏洞或可能的违规行为都可以快速得到解决和纠正。