¿Qué es la detección y respuesta de datos (DDR)?

Autores

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es la detección y respuesta de datos (DDR)?

La detección y respuesta de datos (DDR) es una tecnología de ciberseguridad que monitorea y protege los datos en cualquier formato y ubicación en entornos on premises, en la nube y multinube. 

A diferencia de otras herramientas de prevención de pérdida de datos (DLP) que monitorean la infraestructura de red y los endpoints en busca de signos de actividad sospechosa, las herramientas de DDR se centran en los datos en sí, rastreando el movimiento y la actividad de los datos.

Diseñado como un enfoque proactivo para la seguridad en la nube, DDR detecta amenazas cibernéticas a los datos que están en reposo o en movimiento en tiempo real. También automatiza la respuesta a los ciberataques para que las filtraciones de datos, los ataques de ransomware y otros intentos de exfiltración puedan ser contenidos en el momento en que ocurren.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

¿Por qué son importantes la detección de datos y la respuesta?

Las soluciones de DDR son importantes porque ayudan a abordar las vulnerabilidades de los datos en la nube distribuidos en múltiples plataformas, aplicaciones, almacenes de datos y entornos de software como servicio (SaaS).

La naturaleza abierta e interconectada de la computación en la nube puede poner en riesgo información confidencial, como datos de clientes, información de identificación personal (PII) y datos financieros.

El Informe del costo de una filtración de datos de IBM encontró que el 40 % de las filtraciones de datos involucran datos almacenados en múltiples entornos. Los datos robados de las nubes públicas incurrieron en el costo promedio más alto de filtración con 5.17 millones de dólares.

Con la ampliación de la normativa sobre privacidad de datos y los costos mundiales de las filtraciones de datos en máximos históricos, las estrategias eficaces de seguridad de datos en la nube son un imperativo empresarial.

Las soluciones de seguridad como la detección y respuesta de endpoints (EDR), la detección y respuesta extendida (XDR) y los cortafuegos protegen contra las amenazas de datos a nivel de red y de dispositivo. Sin embargo, debido a que los perímetros de red suelen ser porosos en las redes conectadas a la nube, estas medidas de seguridad brindan una protección limitada cuando los datos viajan o existen simultáneamente en múltiples sistemas.

Por el contrario, DDR opera más allá de los perímetros de la red: monitorea y protege los datos independientemente de su ubicación.

Mediante el descubrimiento de datos y la clasificación de datos, DDR identifica la ubicación de los datos confidenciales. Luego, DDR rastrea el movimiento y el uso de los datos en entornos multinube.

Las capacidades de analytics avanzados y detección de anomalías permiten que las herramientas de DDR identifiquen la actividad de datos maliciosos o el comportamiento del usuario. Por ejemplo, el acceso no autorizado, las descargas masivas de información, las transferencias de datos nocturnas o una dirección IP desde una ubicación inusual pueden indicar un ataque cibernético.

Cómo funciona la detección y respuesta de datos

DDR suele desplegarse como parte de un sistema de gestión de la postura de seguridad de los datos (DSPM). DSPM proporciona una visión centralizada de las amenazas potenciales en los entornos de nube de una organización. DDR proporciona protección de datos en tiempo real para detectar y responder a esas amenazas.

Las organizaciones también pueden integrar DDR con otras herramientas de seguridad como la gestión de postura de seguridad en la nube (CSPM); orquestación de seguridad, automatización y respuesta (SOAR); soluciones de gestión de eventos e información de seguridad (SIEM) y gestión de riesgos.

Hay cuatro componentes principales para una solución de detección y respuesta de datos:

Supervisión

DDR realiza un monitoreo continuo en tiempo real de los registros de actividad de datos para identificar y aislar los incidentes de seguridad a medida que ocurren.

A medida que rastrea los flujos de datos y las interacciones en múltiples plataformas en la nube, DDR se basa en el linaje de datos para monitorear amenazas potenciales. El linaje de datos muestra el origen, la ruta, el destino y la transformación de diferentes tipos de datos. Esta información ayuda a DDR a determinar cuándo y si los datos confidenciales podrían estar en riesgo, por ejemplo, si los datos se mueven a un sistema inesperado o se alteran de manera inesperada.
Detección

A medida que una herramienta de DDR monitorea los datos, aplica machine learning y analytics de comportamiento para detectar aberraciones de las actividades de referencia. Por ejemplo, una solicitud de acceso a datos inusual, una gran descarga de información confidencial o un aumento en la actividad del usuario pueden indicar un riesgo.

Esta detección de amenazas se vuelve más precisa con el tiempo a medida que DDR aprende a reconocer desviaciones cada vez más sutiles de los patrones y comportamientos normales.
Alertas

Cuando se detecta una posible violación o anomalía, DDR activa una alerta para notificar a los equipos de seguridad correspondientes. La generación de alertas se produce de forma prioritaria para que el personal no se vea abrumado por notificaciones excesivas o falsos positivos. Normalmente, solo las amenazas a los datos confidenciales desencadenan una alerta, por lo que los equipos pueden investigar y solucionar el problema rápidamente.
Respuesta

La respuesta a incidentes es el componente final de la detección y respuesta de datos. Las capacidades de respuesta automatizada de DDR pueden tomar medidas inmediatas para contener las filtraciones de datos. Estas acciones pueden incluir el aislamiento de los sistemas afectados, la suspensión del tráfico de red y el bloqueo de los permisos de usuario.

DDR también puede generar informes detallados de incidentes para ayudar a los equipos a comprender las causas de las filtraciones de datos para que puedan actualizar las políticas de seguridad en consecuencia. 

Casos de uso de detección de datos y respuesta 

Prevención de la exfiltración de datos

La exfiltración de datos es la transferencia no autorizada de información desde los sistemas internos de una organización. Por ejemplo, un empleado podría intentar descargar propiedad intelectual o secretos comerciales antes de dejar la empresa por un competidor. O un delincuente cibernético podría robar datos personales que pueden usarse para cometer fraude con tarjetas de crédito.

DDR evita la exfiltración al monitorear y detectar actividades de datos sospechosas en tiempo real. Su funcionalidad de respuesta automatizada puede bloquear las descargas de datos maliciosos antes de que ocurran y alertar a los equipos de seguridad para que tomen medidas adicionales.

Detección de amenazas de usuario interno

Las amenazas de usuario interno pueden ser difíciles de detectar porque se originan con los usuarios autorizados de una organización, como empleados, contratistas y asociados de negocios. A veces, los delincuentes cibernéticos pueden robar y utilizar credenciales legítimas.

Cuanto más tiempo pase sin detectarse una amenaza del usuario interno, mayor será el daño que se puede infligir mediante el robo o la manipulación de datos con fines maliciosos.

DDR ofrece una ventaja para detectar amenazas de usuarios internos más rápido que las soluciones tradicionales. En lugar de detectar el robo de datos después de que se produzca, puede detectar las primeras señales de advertencia de amenazas de usuarios internos. A través del analytics de comportamiento y la detección de anomalías, DDR identifica comportamientos sospechosos de usuarios autorizados, activa alertas de seguridad y responde a las amenazas antes de que sucedan o en el momento en que ocurren.

Mitigación de ataques de ransomware

El ransomware es un malware que cifra los datos confidenciales de una organización y los mantiene como rehenes hasta que se paga un rescate. Es una de las formas más comunes de software malicioso y puede costar millones de dólares a las organizaciones afectadas. Según el Informe del costo de una filtración de datos, los ataques de ransomware cuestan a las organizaciones 4.91 millones de dólares en promedio.

DDR puede mitigar los ataques de ransomware al monitorear e identificar anomalías en el acceso a los datos y la actividad de los datos en tiempo real.

Por ejemplo, puede detectar el cifrado inesperado de grandes volúmenes de información, lo que a menudo indica un ataque de ransomware. DDR puede aislar automáticamente el sistema afectado para contener el ataque y alertar a los equipos de seguridad para que tomen medidas adicionales.

Supervisión y gestión del cumplimiento

Las organizaciones están bajo presión para cumplir con las regulaciones de protección de datos como el Payment Card Industry Data Security Standard (PCI-DSS) y el Reglamento General de Protección de Datos (RGPD). El incumplimiento de estos mandatos puede generar multas, sanciones y daños a la reputación de la marca.

DDR ayuda a las organizaciones a gestionar el cumplimiento de los datos mediante la supervisión continua de los datos, la realización de auditorías de datos y el seguimiento de los registros de acceso. Esta funcionalidad ayuda a las organizaciones a asignar sus capacidades de protección de datos a los requisitos normativos. Cualquier brecha en la protección o posibles violaciones se pueden abordar y corregir rápidamente.
Soluciones relacionadas
IBM Guardium Data Detection and Response

IBM Guardium DDR ayuda a proteger los datos confidenciales en toda la nube híbrida con visibilidad centralizada, amenazas priorizadas y respuestas automatizadas, todo habilitado con IA generativa.

 Explorar Guardium DDR
Detección de amenazas y servicios de respuesta

Proteja las inversiones existentes y mejórelas con IA, mejore las operaciones de seguridad y proteja la nube híbrida.

 Explore los servicios de detección de amenazas
Soluciones de detección y respuesta a amenazas

Eleve su seguridad con nuestra suite principal de soluciones de detección y respuesta ante amenazas.

 Explorar las soluciones de detección de amenazas
Dé el siguiente paso

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 

 Explorar las soluciones de detección de amenazas Explorar IBM Verify