Cos'è il Data Detection and Response (DDR)?

A differenza di altri strumenti di prevenzione della perdita di dati (DLP) che monitorano l'infrastruttura di rete e gli endpoint alla ricerca di segni di attività sospette, gli strumenti DDR si concentrano sui dati stessi, monitorando il movimento e l'attività dei dati.

Progettato come approccio proattivo alla sicurezza del cloud, il DDR rileva le minacce informatiche ai dati inattivi o in movimento in tempo reale. Automatizza inoltre la risposta agli attacchi informatici, in modo da contenere violazioni dei dati, attacchi ransomware e altri tentativi di esfiltrazione non appena si verificano.

Le soluzioni DDR sono importanti perché aiutano a risolvere le vulnerabilità dei dati cloud distribuiti su più piattaforme, applicazioni, storage dei dati e ambienti software as a service (SaaS).

La natura aperta e interconnessa del cloud computing può mettere a rischio informazioni sensibili come dati dei clienti, informazioni di identificazione personale (PII) e dati finanziari.

Il report di IBM Cost of a Data Breach ha rilevato che il 40% delle violazioni dei dati coinvolge dati memorizzati in più ambienti. I dati rubati dai cloud pubblici hanno comportato il costo medio più elevato per violazione, pari a 5,17 milioni di dollari.

Con l'espansione delle normative sulla privacy dei dati e i costi globali delle violazioni dei dati ai massimi storici, strategie efficaci di sicurezza dei dati nel cloud sono un imperativo aziendale.

Soluzioni di sicurezza come il rilevamento e risposta degli endpoint (EDR), il rilevamento e risposta estesi (XDR) e i firewall proteggono dalle minacce ai dati a livello di rete e di dispositivi. Tuttavia, poiché i perimetri di rete sono spesso porosi nelle reti connesse al cloud, queste misure di sicurezza offrono una protezione limitata quando i dati viaggiano o esistono contemporaneamente su più sistemi.

Al contrario, il DDR opera oltre i perimetri della rete, monitorando e proteggendo i dati stessi indipendentemente dalla posizione in cui si trovano.

Utilizzando funzionalità di data discovery e classificazione dei dati, il DDR individua la posizione dei dati sensibili. Il DDR traccia quindi il movimento e l'utilizzo dei dati negli ambienti multicloud

Le funzionalità di analytics avanzata e di rilevamento delle anomalie consentono agli strumenti DDR di identificare attività dannose sui dati o comportamenti degli utenti. Ad esempio, l'accesso non autorizzato, i download massicci di informazioni, i trasferimenti di dati a tarda notte o un indirizzo IP da una posizione insolita potrebbero segnalare un attacco informatico.

Il DDR viene in genere distribuito come parte di un sistema di gestione del livello di sicurezza dei dati (DSPM). Il DSPM offre una visione centralizzata delle potenziali minacce negli ambienti cloud di un'organizzazione. Il DDR fornisce protezione dei dati in tempo reale per rilevare e rispondere a tali minacce.

Le organizzazioni potrebbero anche integrare il DDR con altri strumenti di sicurezza, come la gestione del livello di sicurezza del cloud (CSPM), l' orchestrazione, automazione e risposta della sicurezza (SOAR), la gestione delle informazioni e degli eventi di sicurezza (SIEM) e le soluzioni di gestione del rischio.

Sono quattro i componenti principali di una soluzione di rilevamento e risposta dei dati:

L'esfiltrazione dei dati è il trasferimento non autorizzato di informazioni dai sistemi interni di un'organizzazione. Ad esempio, un dipendente potrebbe tentare di scaricare proprietà intellettuale o segreti commerciali prima di lasciare l'azienda per andare a lavorare da un concorrente. Oppure, un criminale informatico potrebbe rubare dati personali che possono essere utilizzati per commettere frodi sulle carte di credito.

Il DDR previene l'esfiltrazione monitorando e rilevando le attività sospette dei dati in tempo reale. La sua funzionalità di risposta automatica può bloccare i download di dati dannosi prima che si verifichino e comunicare ai team addetti alla sicurezza che devono intraprendere ulteriori azioni.

Le minacce interne possono essere difficili da rilevare perché provengono da utenti autorizzati di un'organizzazione, come dipendenti, consulenti e business partner. A volte, le credenziali legittime possono essere rubate e utilizzate dai criminali informatici.

Più a lungo una minaccia interna non viene rilevata, maggiore è il danno che può essere inflitto rubando o manipolando i dati per fini dannosi.

Il DDR offre un vantaggio nel rilevamento più veloce delle minacce interne rispetto alle soluzioni tradizionali. Anziché rilevare il furto di dati dopo che si è verificato, è in grado di individuare i primi segnali di allarme delle minacce interne. Attraverso l'analytics e il rilevamento, il DDR identifica i comportamenti sospetti degli utenti autorizzati, attiva avvisi di sicurezza e risponde alle minacce prima o quando si verificano.

Il ransomware è un malware che crittografa i dati sensibili di un'organizzazione e li tiene in ostaggio fino al pagamento del riscatto. È una delle forme più comuni di software dannoso e può costare milioni di dollari alle organizzazioni colpite. Secondo il report Cost of a Data Breach, gli attacchi ransomware costano in media alle organizzazioni 4,91 milioni di dollari.

Il DDR può mitigare gli attacchi ransomware monitorando e identificando le anomalie dell'accesso ai dati in tempo reale.

Ad esempio, può rilevare la crittografia inaspettata di grandi quantità di informazioni, spesso un indicatore di un attacco ransomware. Il DDR può quindi isolare automaticamente il sistema interessato per contenere l'attacco e comunicare ai team addetti alla sicurezza che devono intraprendere ulteriori azioni.

Le organizzazioni sono sotto pressione per rispettare le normative sulla protezione dei dati, come il Payment Card Industry Data Security Standard (PCI-DSS) e il Regolamento generale sulla protezione dei dati (GDPR). La non conformità a questi mandati può comportare multe, sanzioni e danni alla reputazione del brand.

Il DDR aiuta le organizzazioni a gestire la conformità dei dati monitorando continuamente i dati, eseguendo audit e tracciando i log di accesso. Questa funzionalità aiuta le organizzazioni a mappare le proprie capacità di protezione dei dati in base ai requisiti normativi. Eventuali lacune nella protezione o possibili violazioni possono essere affrontate e corrette rapidamente.