Was ist Data Detection and Response (DDR)?

Autoren

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Was ist Data Detection and Response (DDR)?

Data Detection and Response (DDR) ist eine Cybersicherheitstechnologie, die Daten in jedem Format und an jedem Ort in On-Premises-, Cloud- und Multicloud-Umgebungen überwacht und schützt. 

Im Gegensatz zu anderen Tools zur Data Loss Prevention (DLP), die die Netzwerkinfrastruktur und Endgeräte auf Anzeichen verdächtiger Aktivitäten überwachen, konzentrieren sich DDR-Tools auf die Daten selbst und verfolgen Datenbewegungen, indem sie Datenbewegungen und -aktivitäten verfolgen.

DDR wurde als proaktiver Ansatz für die Cloud-Sicherheit entwickelt und erkennt Cyber-Bedrohungen für Daten, die sich in Ruhe oder in Bewegung befinden, in Echtzeit. Es automatisiert auch die Reaktion auf Cyberangriffe, sodass Datenschutzverletzungen, Ransomware-Angriffe und andere Exfiltrationsversuche bereits im Ansatz abgewehrt werden können.

Branchen-Newsletter

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Vielen Dank! Sie haben ein Abonnement abgeschlossen.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

Warum ist die Data Detection and Response wichtig?

DDR-Lösungen sind wichtig, weil sie dazu beitragen, die Schwachstellen von Cloud-Daten zu beseitigen, die über mehrere Plattformen, Anwendungen, Datenspeicher und Software-as-a-Service (SaaS)-Umgebungen verteilt sind.

Die offene und vernetzte Natur des Cloud Computing kann sensible Informationen wie Kundendaten, personenbezogene Daten (PII) und Finanzdaten gefährden.

Der IBM Cost of a Data Breach Report hat ergeben, dass 40 % der Datenlecks Daten betreffen, die in verschiedenen Umgebungen gespeichert sind. Aus Public Clouds gestohlene Daten verursachten mit 5,17 Mio. USD die höchsten durchschnittlichen Kosten für einen Data Breach.

Angesichts der Ausweitung der Datenschutzbestimmungen und der weltweiten Kosten für Datenschutzverletzungen auf einem Allzeithoch sind effektive Strategien für die Datensicherheit in der Cloud eine geschäftliche Notwendigkeit.

Sicherheitslösungen wie Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und Firewalls schützen vor Datenbedrohungen auf Netzwerk- und Geräteebene. Da die Netzwerkgrenzen in mit der Cloud verbundenen Netzwerken jedoch oft durchlässig sind, bieten diese Sicherheitsmaßnahmen nur begrenzten Schutz, wenn Daten über mehrere Systeme hinweg übertragen werden oder gleichzeitig existieren.

Im Gegensatz dazu arbeitet DDR über Netzwerkgrenzen hinaus. Es überwacht und schützt die Daten selbst unabhängig vom Standort.

Mithilfe von Datenerkennung und Datenklassifizierung bestimmt DDR den Speicherort vertraulicher Daten. DDR verfolgt dann die Bewegung und Nutzung der Daten in Multicloud-Umgebungen.

Fortgeschrittene Analysefunktionen und Funktionen zur Erkennung von Anomalien Funktionen zur Erkennung von Anomalien ermöglichen es DDR-Tools,böswillige Datenaktivitäten oder Benutzerverhalten zu identifizieren. Beispielsweise können ein unbefugter Zugriff, massive Downloads von Informationen, Datenübertragungen zu später Stunde oder eine IP-Adresse von einem ungewöhnlichen Standort auf einen Cyberangriff hindeuten.

Mixture of Experts | 28. August, Folge 70

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Die neuesten Podcast-Folgen ansehen

So funktionieren Datenerkennung und Reaktion

DDR wird in der Regel als Teil eines Systems für das Data Security Posture Management (DSPM) bereitgestellt. DSPM bietet einen zentralen Überblick über potenzielle Bedrohungen in den Cloud-Umgebungen eines Unternehmens. DDR bietet Echtzeit-Datenschutz, um diese Bedrohungen zu erkennen und darauf zu reagieren.

Unternehmen können DDR auch in andere Sicherheitstools wie Cloud-Sicherheitsstatus-Management (CSPM), Sicherheits-Orchestrierung, -Automatisierung und -Reaktion (SOAR), Sicherheits-Informationen- und Ereignis-Management (SIEM) und Risikomanagement -Lösungen integrieren.

Eine Lösung zur Erkennung und Antwort besteht aus vier primären Komponenten:

Überwachung

DDR führt eine kontinuierliche Überwachung der Datenaktivitätsprotokolle in Echtzeit durch, um Sicherheitsvorfälle zu identifizieren und zu isolieren, sobald sie auftreten.

Bei der Verfolgung von Datenflüssen und Interaktionen über mehrere Cloud-Plattformen hinweg verlässt sich DDR auf Datenabstammung, um potenzielle Bedrohungen zu überwachen. Die Datenabstammung zeigt den Ursprung, den Pfad, das Ziel und die Transformation verschiedener Datentypen. Anhand dieser Informationen kann DDR feststellen, wann und ob vertrauliche Daten gefährdet sein könnten, z. B. wenn Daten auf ein unerwartetes System verschoben oder auf unerwartete Weise geändert werden. Die Datenabstammung zeigt den Ursprung, den Pfad, das Ziel und die Transformation verschiedener Datentypen. Anhand dieser Informationen kann DDR feststellen, wann und ob vertrauliche Daten gefährdet sein könnten – beispielsweise, wenn Daten in ein unerwartetes System verändert oder auf unerwartete Weise verändert werden.
Erkennung

Da ein DDR-Tool Daten überwacht, wendet es maschinelles Lernen und Analyse an, um Abweichungen von den Referenzaktivitäten zu erkennen. So können beispielsweise eine ungewöhnliche Datenzugriff, ein großer Download sensibler Informationen oder ein Anstieg der Benutzeraktivität auf ein Risiko hinweisen.

Diese Bedrohungserkennung wird mit der Zeit genauer, da DDR lernt, immer subtilere Abweichungen von normalen Mustern und Verhaltensweisen zu erkennen.
Alertausgabe

Wenn eine potenzielle Sicherheitsverletzung oder Anomalie erkannt wird, löst DDR einen Alarm aus, um die entsprechenden Sicherheitsteams zu benachrichtigen. Die Alarmgenerierung erfolgt nach Prioritäten, damit das Personal nicht mit übermäßigen Benachrichtigungen oder Fehlalarmen überlastet wird. In der Regel lösen nur Bedrohungen für sensible Daten einen Alarm aus, sodass die Teams das Problem schnell untersuchen und beheben können.
Antwort

Die Reaktion auf Vorfälle ist der letzte Bestandteil der Datenerkennung und -reaktion. Die automatisierten Reaktionsfunktionen von DDR können sofortige Maßnahmen ergreifen, um Datenschutzverletzungen einzudämmen. Zu diesen Maßnahmen können die Isolierung betroffener Systeme, die Unterbrechung des Netzwerkverkehrs und die Sperrung von Benutzerberechtigungen gehören.

DDR kann auch detaillierte Berichte über Vorfälle erstellen, um Teams dabei zu helfen, die Ursachen von Datenschutzverletzungen zu verstehen, damit sie ihre Sicherheitsrichtlinien entsprechend aktualisieren können. 

Anwendungsfälle für die Datenerkennung und Reaktion 

Verhinderung von Datenexfiltration

Datenexfiltration ist die unbefugte Übertragung von Informationen aus den internen Systemen eines Unternehmens. Zum Beispiel könnte ein Mitarbeiter versuchen, geistiges Eigentum oder Geschäftsgeheimnisse herunterzuladen, bevor er das Unternehmen verlässt und zu einem Konkurrenten wechselt. Oder ein Cyberkrimineller stiehlt personenbezogene Daten, die für Kreditkartenbetrug verwendet werden können.

DDR verhindert die Exfiltration, indem es verdächtige Datenaktivitäten in Echtzeit überwacht und erkennt. Die automatische Reaktionsfunktion kann bösartige Datendownloads blockieren, bevor sie stattfinden, und Sicherheitsteams alarmieren, um weitere Maßnahmen zu ergreifen.

Insider-Bedrohungen erkennen

Insider-Bedrohungen können schwer zu erkennen sein, da sie von autorisierten Benutzern eines Unternehmens stammen, z. B. Mitarbeitern, Auftragnehmern und Geschäftspartnern. Manchmal können legitimierte Zugangsdaten gestohlen und von Cyberkriminellen verwendet werden.

Je länger eine Insider-Bedrohung unentdeckt bleibt, desto größer ist der Schaden, der durch den Diebstahl oder die Manipulation von Daten zu böswilligen Zwecken angerichtet werden kann.

DDR bietet den Vorteil, Insider-Bedrohungen schneller zu erkennen als herkömmliche Lösungen. Anstatt Datendiebstahl erst im Nachhinein zu erkennen, kann es die Frühwarnzeichen von Insider-Bedrohungen erkennen. Durch Analyse und Erkennung identifiziert DDR verdächtiges Verhalten von autorisierten Benutzern, löst Sicherheitswarnungen aus und reagiert auf Bedrohungen, bevor oder sobald sie auftreten.

Abwehr von Ransomware-Angriffen

Ransomware ist eine Malware, die die sensiblen Daten eines Unternehmens verschlüsselt und sie als Geiseln hält, bis ein Lösegeld gezahlt wird. Sie ist eine der häufigsten Formen von Schadsoftware und kann betroffene Unternehmen Millionen von Dollar kosten. Laut dem Cost of a Data Breach Report kosten Ransomware-Angriffe Unternehmen im Durchschnitt 4,91 Millionen USD.

DDR kann Ransomware-Angriffe abwehren, indem Anomalien beim Datenzugriff und bei der Datenaktivität in Echtzeit überwacht und identifiziert werden.

So kann es beispielsweise die unerwartete Verschlüsselung großer Datenmengen erkennen, die häufig auf einen Ransomware-Angriff hinweist. DDR kann dann das betroffene System automatisch isolieren, um den Angriff einzudämmen, und die Sicherheitsteams alarmieren, damit diese weitere Maßnahmen ergreifen können.

Überwachung und Verwaltung der Compliance

Unternehmen stehen unter dem Druck, Datensicherheitsbestimmungen wie den Payment Card Industry Standard (PCI-DSS) und die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Die Nichteinhaltung dieser Vorschriften kann zu Geldstrafen, Sanktionen und einer Schädigung des Markenrufs führen.

DDR unterstützt Unternehmen bei der Verwaltung der Datenkonformität, indem es Daten kontinuierlich überwacht, Datenaudits durchführt und Zugriffsprotokolle verfolgt. Diese Funktion hilft Unternehmen, ihre Datenschutzfunktionen den gesetzlichen Anforderungen zuzuordnen. Etwaige Lücken im Schutz oder mögliche Verstöße können schnell behoben werden.
Weiterführende Lösungen
IBM Guardium Data Detection and Response

IBM Guardium DDR hilft beim Schutz sensibler Daten in der gesamten Hybrid Cloud: mit zentralisierter Transparenz, priorisierten Bedrohungen und automatisierten Reaktionen – alles ermöglicht durch generative KI.

 Guardium DDR erkunden
Services zur Erkennung und Abwehr von Bedrohungen

Schützen Sie bestehende Investitionen und erweitern Sie diese mit KI, verbessern Sie die Sicherheitsabläufe und schützen Sie die Hybrid Cloud.

 Dienste zur Bedrohungserkennung erkunden
Lösungen für die Bedrohungserkennung und -reaktion

Erhöhen Sie Ihre Sicherheit mit unserer erstklassigen Suite von Lösungen zur Bedrohungserkennung und -reaktion.

 Lösungen zur Bedrohungserkennung erkunden
Machen Sie den nächsten Schritt

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 

 Lösungen zur Bedrohungserkennung erkunden IBM Verify erkunden