¿Qué es la detección y respuesta de datos (DDR)?

A diferencia de otras herramientas de prevención de pérdida de datos (DLP) que monitorizan la infraestructura de red y los endpoints en busca de signos de actividad sospechosa, las herramientas DDR se centran en los datos en sí, rastreando el movimiento y la actividad de los datos.

Diseñado como un enfoque proactivo para la seguridad en la nube, DDR detecta las ciberamenazas a los datos que están en reposo o en movimiento en tiempo real. También automatiza la respuesta a los ciberataques para que las vulneraciones de datos, los ataques de ransomware y otros intentos de exfiltración puedan contenerse a medida que se producen.

Las soluciones DDR son importantes porque ayudan a abordar las vulnerabilidades de los datos en la nube distribuidos en múltiples plataformas, aplicaciones, almacenes de datos y entornos de software como servicio (SaaS).

La naturaleza abierta e interconectada del cloud computing puede poner en riesgo información confidencial como los datos de los clientes, la información de identificación personal (PII) y los datos financieros.

El informe "Cost of a Data Breach" de IBM reveló que el 40 % de las vulneraciones de datos implican datos almacenados en varios entornos. Los datos robados de las nubes públicas supusieron el mayor coste medio de vulneración con 5,17 millones de dólares.

Con la expansión de la normativa sobre protección de datos y los costes globales de las vulneraciones de datos en máximos históricos, las estrategias eficaces de seguridad de datos en la nube son un imperativo empresarial.

Las soluciones de seguridad como la detección y respuesta de endpoints (EDR), la detección y respuesta extendidas (XDR) y los firewalls protegen contra las amenazas de datos a nivel de red y dispositivo. Sin embargo, dado que los perímetros de red suelen ser porosos en las redes conectadas a la nube, estas medidas de seguridad proporcionan una protección limitada cuando los datos viajan o existen simultáneamente en varios sistemas.

Por el contrario, DDR opera más allá de los perímetros de red. Monitoriza y protege los datos en sí, independientemente de su ubicación.

Mediante la detección y la clasificación de datos, DDR identifica la ubicación de los datos confidenciales y luego rastrea el movimiento y el uso de los datos en entornos multinube.

Las capacidades de análisis avanzado y detección de anomalías permiten a las herramientas DDR identificar la actividad de datos o el comportamiento de los usuarios maliciosos. Por ejemplo, el acceso no autorizado, las descargas masivas de información, las transferencias de datos a altas horas de la noche o una dirección IP desde una ubicación inusual pueden indicar un ciberataque.

La DDR suele implementarse como parte de un sistema de gestión de la posición de seguridad de datos (DSPM). DSPM proporciona una vista centralizada de las amenazas potenciales en los entornos de nube de una organización. DDR proporciona protección de datos en tiempo real para detectar y responder a esas amenazas.

Las organizaciones podrían integrar la DDR con otras herramientas de seguridad como la gestión de la posición de seguridad en la nube (CSPM);la orquestación, automatización y respuesta de la seguridad (SOAR); la información de seguridad y la gestión de eventos (SIEM) y las soluciones de gestión de riesgos.

Hay cuatro componentes principales en una solución de detección y respuesta de datos:

Laexfiltración de datos es la transferencia no autorizada de información desde los sistemas internos de una organización. Por ejemplo, un empleado podría intentar descargar propiedad intelectual o secretos comerciales antes de dejar la empresa para irse a la competencia. O un ciberdelincuente podría robar datos personales que pueden utilizarse para cometer fraude con tarjetas de crédito.

La DDR evita la exfiltración al monitorizar y detectar la actividad de datos sospechosa en tiempo real. Su funcionalidad de respuesta automatizada puede bloquear las descargas de datos maliciosos antes de que se produzcan y alertar a los equipos de seguridad para que tomen medidas adicionales.

Las amenazas internas pueden ser difíciles de detectar porque se originan con los usuarios autorizados de una organización, como empleados, contratistas y business partners. A veces, los ciberdelincuentes pueden robar y utilizar credenciales legítimas.

Cuanto más tiempo pase sin detectarse una amenaza interna, mayor será el daño que se puede infligir mediante el robo o la manipulación de datos con fines maliciosos.

La DDR ofrece la ventaja de detectar las amenazas internas más rápido que las soluciones tradicionales. En lugar de detectar el robo de datos después de que se produzca, puede detectar las primeras señales de advertencia de las amenazas internas. Mediante el análisis del comportamiento y la detección de anomalías, la DDR identifica los comportamientos sospechosos de los usuarios autorizados, activa las alertas de seguridad y responde a las amenazas antes o en el mismo momento en que se producen.

El ransomware es un malware que cifra los datos confidenciales de una organización y los mantiene como rehenes hasta que se paga un rescate. Es una de las formas más comunes de software malicioso y puede costar millones de dólares a las organizaciones afectadas. Según el informe "Cost of a Data Breach", los ataques de ransomware cuestan a las organizaciones una media de 4,91 millones de dólares.

La DDR puede mitigar los ataques de ransomware al monitorizar e identificar las anomalías en el acceso a datos y la actividad de los datos en tiempo real.

Por ejemplo, puede detectar el cifrado inesperado de grandes volúmenes de información, lo que a menudo indica un ataque de ransomware. La DDR puede aislar automáticamente el sistema afectado para contener el ataque y alertar a los equipos de seguridad para que tomen medidas adicionales.

Las organizaciones están bajo presión para cumplir con las regulaciones de protección de datos, como el estándar de seguridad de los datos de la industria de tarjetas de pago (PCI-DSS) y el Reglamento General de Protección de Datos (RGPD). El incumplimiento de estos mandatos puede acarrear multas, sanciones y daños a la reputación de la marca.

La DDR ayuda a las organizaciones a gestionar la conformidad de los datos mediante la monitorización continua de los datos, la realización de auditorías de datos y el seguimiento de los registros de acceso. Esta funcionalidad ayuda a las organizaciones a correlacionar sus capacidades de protección de datos con los requisitos normativos. Cualquier laguna en la protección o posible vulneración puede abordarse y corregirse rápidamente.