Estenda a segurança completa de dados para a nuvem pública com o DSPM

Recentemente, os ataques direcionados diretamente à nuvem aumentaram em 288%.¹ Com as organizações agora enviando zettabytes de dados para a nuvem, essa é uma receita para o desastre. Além disso, com dados sigilosos como PII, PCI, PHI e segredos espalhados em várias nuvens, contas, serviços e armazenamentos de dados, somados à baixa visibilidade e compreensão, priorizar seus dados na nuvem não é mais uma opção. É um requisito.

As abordagens atuais de segurança de dados são insuficientes

As organizações podem gastar milhões de dólares todos os anos em diversas soluções de segurança para proteger seus dados. Mas essa abordagem não é dimensionável e exige muitas operações manuais, o que leva à sobrecarga de alertas e mais falhas de segurança, especialmente em ambientes multinuvem complexos. Entretanto, o custo médio global de uma violação de dados aumentou 15% nos últimos três anos, para aproximadamente US$ 4,45 milhões, com 82% das violações de dados envolvendo dados armazenados em ambientes na nuvem.²

Além disso, com a abordagem tradicional de segurança de dados, as organizações têm dificuldade para:

• Descubra e classifique dados na nuvem: onde os dados sigilosos são armazenados? Que tipo de dados são esses?
• Identifique os dados na nuvem: quem tem acesso a esses dados? Estão em conformidade?
• Contextualize os dados da nuvem: os dados estão expostos? Qual é a postura de segurança dos meus dados?

Olá, mundo! Conheça o Zscaler Data Security Posture Management (DSPM)

Para enfrentar os desafios atuais de segurança de dados na nuvem, estamos entusiasmados em lançar nossa solução Zscaler DSPM totalmente integrada para classificar, detectar e proteger proativamente seus dados na nuvem.

Como parte da plataforma Zscaler AI Data Protection, o Zscaler DSPM estende a segurança robusta e de primeira linha para seus dados na nuvem pública. Ele fornece visibilidade granular dos dados na nuvem, classifica e identifica dados e acessos e contextualiza a exposição dos dados e a postura de segurança, capacitando equipes de segurança a prevenir e remediar violações de dados na nuvem em grande escala.

Ao contrário das soluções de segurança de dados legadas ou autônomas, ele usa um único mecanismo de DLP unificado para fornecer proteção de dados consistente em todos os canais, como terminais, e-mail, SaaS e, agora, IaaS/PaaS. Ao acompanhar todos os usuários em todos os locais e controlar os dados em uso, em trânsito e em repouso, ele garante que os dados estruturados e não estruturados sejam perfeitamente protegidos e estejam em conformidade.

Principais recursos e benefícios:

• Descubra e classifique dados: verifique e descubra dados sigilosos em várias plataformas e serviços na nuvem em tempo real. Aproveite a classificação precisa de dados baseada em IA apoiada pela Zscaler Zero Trust Exchange™, que monitora bilhões de transações diariamente.
• Mapeie e monitore a exposição: obtenha uma visão unificada de segurança, inventário e conformidade para dados sigilosos no seu ambiente multinuvem. Obtenha uma visão granular, baseada em riscos e centrada no usuário de todas as rotas de acesso a ativos de dados e configurações essenciais. Analise riscos ocultos, como configurações incorretas, permissões excessivas e vulnerabilidades.
• Corrija riscos: mitigue riscos proativamente identificando possíveis falhas de segurança e implementando os controles necessários, e corrija facilmente problemas e violações na origem com a correção guiada baseada em contexto.
• Garanta uma postura de segurança consistente: aplique segurança de dados consistente e de primeira linha em todos os lugares, para terminais, e-mail, SaaS, nuvem pública, etc.
• Garantia de conformidade: garanta a conformidade contínua com as regulamentações do setor e os padrões de proteção de dados. Mapeie continuamente a postura em relação a estruturas regulatórias como GDPR, HIPAA e PCI DSS para identificar e remediar violações de conformidade.
• Fluxos de trabalho integrados: integração perfeita ao seu ecossistema de segurança existente, serviços de terceiros, ferramentas nativas para priorização de riscos e aplicativos de colaboração em equipe.

Como o Zscaler DSPM pode resolver seus problemas de segurança reais

Descubra e classifique seus dados mais sigilosos

Para entender seus dados na nuvem pública, incluindo quais tipos de dados são armazenados, os serviços que armazenam os dados e onde os dados sigilosos estão localizados, o Zscaler DSPM pode verificar toda a sua organização ou contas específicas que você deseja proteger. Por padrão, o Zscaler DSPM usará todos os classificadores de IA, dicionários e mecanismos de DLP prontos para uso, bem como quaisquer mecanismos personalizados, para descobrir e classificar os dados.

O DSPM permite que equipes de segurança descubram e classifiquem dados em vários locais de nuvem e rede. Ele fornece visibilidade abrangente sobre localização de arquivos, categorização, classificação, permissões de acesso e riscos de conformidade. Isso ajuda a identificar configurações incorretas, controles de acesso inadequados e vulnerabilidades que podem levar a violações de dados.

Figura 1: painel do DSPM — descoberta de dados 

As equipes de segurança podem se aprofundar para investigar os dados mais detalhadamente, concentrando-se em um tipo de dado específico, para aprender informações relacionadas, como volume, onde os dados estão dispersos geograficamente e os serviços que armazenam esse tipo de informação. Por exemplo, podemos ver que os registros médicos são armazenados principalmente em buckets de armazenamento, alguns em unidades de VM e poucos foram detectados em bancos de dados.
 

Para algumas organizações, é importante inspecionar dados de uma perspectiva geográfica, como local específico ou visualização da repartição de dados por geografia. Com a delimitação geográfica, o Zscaler DSPM pode ajudar as organizações a inspecionar e restringir o uso de dados a locais/geografias específicos.
 

As equipes de segurança podem obter clareza sobre os tipos e volumes de dados armazenados em cada local e entender a divisão por tipo de armazenamento de dados. Isso proporciona visibilidade e controle poderosos sobre quais dados são executados em suas nuvens, permitindo que as equipes otimizem as configurações do DSPM, mantendo-as como uma análise completa ampla ou focadas em tipos de dados específicos com os quais se importam.

Figura 2: painel do DSPM — visão de 360 graus dos armazenamentos de dados no inventário de dados

As equipes de segurança podem ir mais fundo na investigação. A partir de qualquer um dos links, você pode detalhar até um único nível de armazenamento de dados, examinar as informações específicas ali e obter visibilidade do armazenamento de dados. Isso facilita a compreensão da postura, a obtenção de informações sobre a maneira como os dados são marcados ou a coleta de muitos outros tipos de informações (por exemplo, o projeto do qual faz parte, o proprietário) para ajudar a entender melhor os dados.

Identifique, investigue e remedie riscos

Depois de passar por diferentes modos de inspeção, as equipes de segurança agora têm total clareza sobre o paradeiro dos dados na nuvem. Sua próxima preocupação seria:

• Quais são as principais preocupações e riscos de segurança para os dados?
• A configuração atual das políticas de segurança restringe o risco de perda de dados?
• A configuração atual oferece controles adequados para evitar acessos maliciosos ou exposição acidental dos dados?
• Qual pode ser o próximo passo para proteger dados sigilosos na nuvem e manter uma postura de segurança consistente?

O DSPM pode abordar essas preocupações automaticamente, usando algoritmos de IA e ML combinados com correlação avançada de ameaças para identificar e priorizar riscos de dados. Ele analisa o contexto e o conteúdo dos dados para identificar informações sigilosas (por exemplo: propriedade intelectual, PII, registros médicos), priorizar os riscos dos dados e ajudar as equipes de segurança a concentrar seus esforços na proteção dos ativos de dados mais críticos.

Figura 3: painel do DSPM — principais armazenamentos de dados de risco 

Com base nas descobertas de postura e nos dados sigilosos, o sistema classifica os armazenamentos de dados do maior para o menor risco que eles representam para a organização. Basicamente, se você tiver apenas uma hora para melhorar seu risco na nuvem, comece do topo deste painel e vá descendo.

Você também pode ver que alertas foram gerados, cada um descrevendo um vetor de ataque que gerou preocupações. A visualização de alertas do DSPM fornece uma visão precisa, porém simples, detalhando o problema detectado. No exemplo da figura 3, o impacto de um possível ataque por meio desses vetores seria enorme, pois o bucket S3 contém um alto volume de registros sigilosos. Combinados, esses fatores geram um risco crítico.

Depois que as equipes de segurança entendem isso, o próximo passo normalmente seria aprender tudo sobre o armazenamento de dados e resolver os possíveis problemas, reduzindo assim o risco de segurança dos dados. O DSPM oferece uma compreensão completa dos problemas de segurança com orientação de correção passo a passo para ajudar equipes de segurança, equipes multifuncionais e partes interessadas do projeto a resolvê-los.

Vejamos um exemplo para entender como o DSPM pode ajudar a identificar, priorizar e remediar riscos.

Figura 4: visão detalhada do alerta

Neste exemplo, estávamos explorando um vetor de ataque avançado que permitia que um usuário mal-intencionado obtivesse acesso a dados sigilosos em um bucket de armazenamento. Esse bucket de armazenamento está configurado corretamente: não há acesso direto a ele, ele possui backup e tem logs relevantes habilitados. Mesmo assim, ele está exposto por uma rota mais avançada: pode ser acessado por várias VMs (instâncias do AWS EC2).

Um caso de negócios válido pode exigir esse acesso. Por exemplo, uma VM pode executar um aplicativo que requer acesso aos dados no bucket de armazenamento. Essas VMs, no entanto, contêm alguns CVEs e são configuradas de forma que possam ser expostas publicamente.

Você pode aprender tudo isso na descrição do alerta, no resumo e no gráfico. Esse alerta diz que um hacker pode acessar cada uma dessas VMs (porque elas são expostas publicamente), explorar a vulnerabilidade em seus pacotes em execução para obter controle/acesso para essa VM e, em seguida, usar a VM para acessar os dados no bucket. 

Neste ponto, as equipes de segurança buscarão mais detalhes. Ao selecionar o nó de serviços, você pode alternar o contexto para aprender sobre essas VMs. Você pode então percorrer as VMs, examinar suas vulnerabilidades, verificar de quais pacotes elas fazem parte, se existe uma correção, entre outros.

Para obter uma análise mais aprofundada da rota de ataque, você pode explorar mais profundamente em um nível EC2 direto por meio da rota de exposição pública.

Figura 5: DSPM — detalhes do alerta

Figura 6: DSPM — detalhes do alerta; rota de exposição pública

Aqui, podemos ver que a rota de exposição pública para este EC2 envolve o grupo de segurança e a VPC ACL associados à VM, um balanceador de carga e um serviço de gateway de internet. O DSPM também destaca o grupo de segurança com um ponto de exclamação, indicando que ele desempenha um papel fundamental nessa exposição. Clicar no grupo de segurança mudará o contexto dele e fornecerá informações sobre o próprio grupo de segurança.

Figura 7: DSPM — detalhes do alerta; causa-raiz da exposição pública

Mesmo que os membros da sua equipe não sejam especialistas em nuvem, eles conseguirão identificar facilmente a causa-raiz da regra de entrada do grupo de segurança. Essa regra permite acesso direto. Eles podem inspecionar ou copiar a regra e compartilhá-la com o arquiteto ou desenvolvedor de nuvem que corrigirá o problema.

Em outros casos, em vez de (ou além de) corrigir a exposição pública, as equipes podem desejar examinar os direitos concedidos a essa VM e explorar por que ela tem acesso ao bucket de armazenamento.

Figura 8: DSPM — detalhes do alerta; rota de acesso

Semelhante à rota de exposição pública, as equipes podem clicar na “rota de acesso” desta vez e observar uma representação gráfica simples dos direitos de acesso. As permissões na nuvem pública são altamente granulares. O DSPM faz o trabalho pesado e explica esse acesso. Nesse caso, o EC2 tem um perfil de instância associado a uma determinada função que está vinculada a três políticas, cada uma das quais concede diferentes níveis de acesso ao bucket.

Novamente, as equipes podem examinar cada um dos objetos no gráfico, copiar os metadados relevantes ou até mesmo ir diretamente ao console da AWS e corrigir os problemas. Por meio de nossos recursos de remediação, as equipes de segurança podem obter um guia passo a passo sobre como resolver problemas e garantir que seus dados na nuvem permaneçam protegidos.

Para saber mais sobre o Zscaler DSPM, assista ao webinar de lançamento. 

Recursos adicionais

• Página web do DSPM: www.zscaler.com/dspm
• Ficha técnica: resumo do Zscaler DSPM
• Vídeo de demonstração do Zscaler DSPM

Notas de rodapé

1. Cloud Security Alliance, The Common Cloud Misconfigurations That Lead to Cloud Data Breaches, 11 de outubro de 2023.

2. IBM, Relatório do custo das violações de dados de 2023, 24 de julho de 2023.