الكشف عن البيانات والاستجابة لها (DDR) هي تقنية أمن إلكتروني تراقب البيانات وتحميها بأي تنسيق وفي أي موقع في البيئات المحلية والسحابية ومتعددة السحابات.
على عكس أدوات منع فقدان البيانات (DLP) الأخرى التي تراقب البنية التحتية للشبكة ونقاط النهاية بحثًا عن علامات النشاط المشتبه فيه، تركِّز أدوات الكشف عن البيانات والاستجابة لها على البيانات نفسها، لتتبُّع حركة البيانات ونشاطها.
تم تصميم تقنية الكشف عن البيانات والاستجابة لها كنهج استباقي لأمن السحابة، حيث تكتشف التهديدات الإلكترونية للبيانات الموجودة في حالة السكون أو الحركة في الوقت الفعلي. كما تعمل أيضًا على أتمتة الاستجابة للهجمات الإلكترونية بحيث يمكن احتواء اختراقات أمن البيانات وهجمات برامج الفدية الخبيثة وغيرها من محاولات الاختراق فور حدوثها.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تُعَد حلول الكشف عن البيانات والاستجابة لها مهمة للغاية لأنها تساعد على معالجة نقاط الضعف في البيانات السحابية الموزعة عبر العديد من المنصات والتطبيقات ومخازن البيانات وبيئات البرمجيات كخدمة (SaaS).
يمكن أن تؤدي الطبيعة المفتوحة والمترابطة للحوسبة السحابية إلى تعرّض المعلومات الحساسة مثل بيانات العملاء ومعلومات التعريف الشخصية والبيانات المالية للخطر.
وجد تقرير تكلفة اختراق أمن البيانات الصادر عن IBM أن 40% من حالات اختراق أمن البيانات تتضمن بيانات مخزّنة في بيئات متعددة. وقد تكبدت البيانات المسروقة من السحابة العامة أعلى متوسط تكلفة اختراق بلغت قيمتها 5.17 ملايين دولار أمريكي.
مع اتساع نطاق لوائح خصوصية البيانات وارتفاع تكاليف اختراق أمن البيانات العالمية إلى أعلى مستوياتها على الإطلاق، أصبحت استراتيجيات أمن البيانات السحابية الفعَّالة ضرورة حتمية للأعمال.
تعمل حلول الأمان مثل الكشف عن نقاط النهاية والاستجابة لها (EDR) والكشف والاستجابة الموسَّعة (XDR) وجدران الحماية على الحماية من تهديدات البيانات على مستوى الشبكة والأجهزة. ومع ذلك، نظرًا لأن حدود الشبكة غالبًا ما تكون سهلة الاختراق في الشبكات المتصلة بالسحابة، فإن هذه التدابير الأمنية توفِّر حماية محدودة عندما تنتقل البيانات أو توجد في الوقت نفسه عبر أنظمة متعددة.
وفي المقابل، تعمل تقنية الكشف عن البيانات والاستجابة لها خارج محيط الشبكة. إذ تراقب البيانات نفسها وتحميها بغض النظر عن الموقع.
باستخدام اكتشاف البيانات وتصنيفها، تحدِّد تقنية الكشف عن البيانات والاستجابة لها (DDR) موقع البيانات الحساسة. ثم تعمل على تتبُّع حركة البيانات واستخدامها عبر البيئات متعددة السحابات.
تُتيح قدرات التحليلات المتقدمة واكتشاف الحالات الشاذة لأدوات DDR تحديد نشاط البيانات الضارة أو سلوك المستخدم. فعلى سبيل المثال، قد تُشير محاولات الوصول غير المصرح بها أو عمليات تنزيل كميات كبيرة من المعلومات أو نقل البيانات في أوقات متأخرة من الليل أو عنوان IP من موقع غير معتاد إلى وقوع هجوم إلكتروني.
يتم نشر تقنية DDR عادةً كجزء من نظام إدارة وضع أمن البيانات (DSPM). يوفر نظام DSPM رؤية مركزية للتهديدات المحتملة عبر البيئات السحابية للمؤسسة. وتوفِّر DDR حماية البيانات في الوقت الفعلي للكشف عن هذه التهديدات والاستجابة لها.
قد تعمل المؤسسات أيضًا على دمج أدوات DDR مع أدوات أمنية أخرى مثل إدارة الوضع الأمني للسحابة (CSPM)، والتنسيق الأمني والأتمتة والاستجابة (SOAR)، وإدارة المعلومات والأحداث الأمنية (SIEM)، وحلول إدارة المخاطر.
هناك أربعة عناصر أساسية لحل الكشف عن البيانات والاستجابة لها:
تعمل تقنية DDR على مراقبة سجلات أنشطة البيانات في الوقت الفعلي وبشكل مستمر، لتحديد الحوادث الأمنية وعزلها فور وقوعها.
نظرًا لأنها تتعقب تدفقات البيانات وتفاعلاتها عبر منصات سحابية متعددة، تعتمد تقنية DDR على دورة حياة البيانات لمراقبة التهديدات المحتملة. تُظهر دورة حياة البيانات مصدر أنواع البيانات المختلفة ومسارها ووجهتها وتحويلها. وتساعد هذه المعلومات تقنية DDR على تحديد متى وما إذا كانت البيانات الحساسة معرضة للخطر - على سبيل المثال، إذا انتقلت البيانات إلى نظام غير متوقع أو تم تغييرها بطريقة غير متوقعة.
أثناء مراقبة أداة DDR للبيانات، تطبِّق تقنيات التعلم الآلي والتحليلات السلوكية لاكتشاف الانحرافات عن الأنشطة الأساسية المعتادة. على سبيل المثال، قد يُشير طلب وصول غير عادي إلى البيانات، أو تنزيل كمية كبيرة من المعلومات الحساسة أو ارتفاع حاد في نشاط المستخدم إلى وجود خطر.
تزداد دقة الكشف عن التهديدات مع مرور الوقت حيث تتعلم تقنية الكشف عن البيانات والاستجابة لها كيفية التعرُّف على الانحرافات الدقيقة المتزايدة من الأنماط والسلوكيات العادية.
عند اكتشاف اختراق محتمل أو حالة شاذة، تعمل تقنية الكشف عن البيانات والاستجابة لها على إطلاق تنبيه لإخطار الفرق الأمنية المختصة. يحدث إطلاق التنبيهات بحسب الأولوية حتى لا ينشغل الموظفون بالإشعارات المفرطة أو الإيجابيات الزائفة. وعادةً ما تؤدي التهديدات التي تتعرض لها البيانات الحساسة فقط إلى إطلاق تنبيه، حتى تتمكن الفرق من التحقيق في المشكلة ومعالجتها بسرعة.
الاستجابة للحوادث هي العنصر الأخير في الكشف عن البيانات والاستجابة لها. يمكن لقدرات الاستجابة التلقائية في تقنية DDR اتخاذ إجراءات فورية لاحتواء انتهاكات البيانات. ويمكن أن تشمل هذه الإجراءات عزل الأنظمة المتأثرة وتعليق حركة الشبكة وحظر أذونات المستخدم.
يمكن أن تُنشئ تقنية DDR أيضًا تقارير متعمقة حول الحوادث لمساعدة الفرق على فهم أسباب اختراق أمن البيانات حتى تتمكَّن من تحديث السياسات الأمنية وفقًا لذلك.
تسريب البيانات هو النقل غير المصرح به للمعلومات من الأنظمة الداخلية للمؤسسة. على سبيل المثال، قد يحاول أحد الموظفين تنزيل الملكية الفكرية أو الأسرار التجارية قبل مغادرة الشركة إلى شركة منافسة. أو قد يسرق أحد المجرمين الإلكترونيين بيانات شخصية يمكن استخدامها لارتكاب عمليات احتيال على بطاقات الائتمان.
تمنع تقنية DDR عمليات الاستخراج من خلال مراقبة نشاط البيانات المشتبه فيه واكتشافها في الوقت الفعلي. يمكن أن تمنع وظيفة الاستجابة المؤتمتة تنزيلات البيانات الضارة قبل حدوثها وتنبيه الفرق الأمنية لاتخاذ المزيد من الإجراءات.
قد يكون من الصعب كشف التهديدات الداخلية لأنها تنشأ من المستخدمين المصرح لهم في المؤسسة، مثل الموظفين والمقاولين وشركاء الأعمال. في بعض الأحيان، يمكن سرقة بيانات الاعتماد الرسمية واستخدامها من قبل المجرمين الإلكترونيين.
كلما طالت مدة اكتشاف التهديد الداخلي، زادت الأضرار المحتملة الناتجة عن سرقة البيانات أو التلاعب بها لأغراض خبيثة.
توفر تقنية الكشف عن البيانات والاستجابة لها ميزة اكتشاف التهديدات الداخلية بشكل أسرع من الحلول التقليدية. فبدلًا من اكتشاف سرقة البيانات بعد حدوثها، يمكنها اكتشاف علامات الإنذار المبكر للتهديدات الداخلية. ومن خلال التحليلات السلوكية والكشف عن الحالات الشاذة، تحدِّد التقنية السلوك المشبوه من المستخدمين المصرح لهم وتطلق تنبيهات أمنية وتستجيب للتهديدات قبل حدوثها أو فور حدوثها.
برامج الفدية هي برامج ضارة تعمل على تشفير بيانات المؤسسة الحساسة واحتجازها رهينة إلى أن يتم دفع الفدية. وتُعَد أحد أكثر أشكال البرامج الضارة شيوعًا، وقد تكلِّف المؤسسات المتأثرة بها ملايين الدولارات. وفقًا لتقرير تكلفة خرق البيانات، تكلِّف هجمات برامج الفدية المؤسسات 4.91 ملايين دولار أمريكي في المتوسط.
ويمكن لتقنية الكشف عن البيانات والاستجابة لها التخفيف من هجمات برامج الفدية من خلال مراقبة الحالات الشاذة في الوصول إلى البيانات ونشاط البيانات في الوقت الفعلي وتحديدها.
على سبيل المثال، يمكن الكشف عن التشفير غير المتوقع لكميات كبيرة من المعلومات، وهو ما يشير غالبًا إلى هجوم برامج الفدية الضارة. يمكن للكشف عن البيانات والاستجابة لها بعد ذلك عزل النظام المتأثر تلقائيًا لاحتواء الهجوم وتنبيه الفرق الأمنية لاتخاذ المزيد من الإجراءات.
تواجه المؤسسات ضغوطًا للامتثال للوائح حماية البيانات مثل معيار أمن بيانات صناعة بطاقات الدفع (PCI-DSS) واللائحة العامة لحماية البيانات (GDPR). قد يؤدي عدم الامتثال لهذه المتطلبات إلى غرامات وعقوبات وإلحاق ضرر بسمعة العلامة التجارية.
تساعد أدوات DDR المؤسسات على إدارة الامتثال للبيانات من خلال المراقبة المستمرة للبيانات، وإجراء تدقيقات دورية لها، وتتبُّع سجلات الوصول. تساعد هذه الوظيفة المؤسسات على مواءمة قدراتها في حماية البيانات مع المتطلبات التنظيمية. يمكن معالجة أي ثغرات في الحماية أو مخالفات محتملة وتصحيحها بسرعة.