Wir befinden uns am Beginn eines neuen Hypes, den Gartner mit der Einführung des Begriffs Data Security Posture Management (DSPM) ausgelöst hat. DSPM konzentriert sich auf die Sicherheitslage der Daten.
Es bietet einen Überblick darüber, wo sich sensitive Daten befinden, wer Zugriff darauf hat, wie sie verwendet werden und wie die entsprechenden Sicherheitskontrollen und Berechtigungen konfiguriert sind.
Dadurch etabliert sich die Datensicherheit nun erstmals als wichtige eigenständige Disziplin der Cybersecurity. Gleichzeitig springen zahlreiche Anbieter auf den gerade startenden Zug auf und vermarkten ihre bestehenden Lösungen plötzlich als DSPM. Allerdings fehlt etwa Anbietern mit Wurzeln im Datenschutz und in der Governance häufig der nötige Kontext, um zu erkennen, ob sensitive Daten gefährdet sind. Die Sicherheitslage wird durch das reine Zählen sensitiver Daten gemessen und berücksichtigt weder den Grad der Gefährdung noch die Behebung von Problemen. Andere Anbieter wiederum konzentrieren sich auf die drei großen IaaS-Plattformen AWS, Azure und GCP, vernachlässigen dabei aber andere Datendomänen wie Cloud-Dateispeicher, On-Premises-Dateifreigaben, SaaS-Anwendungen und E-Mail. Wie also erkennt man eine echte DSPM-Lösung und auf welche Punkte sollte man dabei achten?
Die fünf wichtigsten Punkte, die man bei einem Data Security Posture Management (DSPM) beachten sollte
1. Abdeckung aller Datenbereiche und Datentypen
Die meisten großen Unternehmen speichern wichtige Daten in drei großen Domänen: Dateifreigaben, SaaS und IaaS. Die Anschaffung eines DSPM, das nur eine einzige Domäne abdeckt, wäre wie die Wahl eines EDR, der nur für Macs funktioniert. Es ist nahezu unmöglich, ein DSPM zu finden, das jeden Datenspeicher abdeckt, den das Unternehmen nutzt. Hierauf zu warten ist jedoch falsch. Sicherheitsverantwortliche müssen jetzt handeln, um ihre Datensicherheit voranzubringen. Sie sollten deshalb die 80/20-Regel befolgen und prüfen, wo die wichtigsten Daten gespeichert sind und diese Datenspeicher priorisieren. Setzen sie zudem auf Anbieter, die sukzessive ihre Abdeckung ausbauen, sind sie auf der sicheren Seite.
2. Präzise und skalierbare Datenklassifikation
Die Erkennung und Klassifizierung von Daten ist ein grundlegendes Element von DSPM. Viele Klassifizierungsprojekte scheitern jedoch, weil die Scan-Engine große Datensätze nicht verarbeiten kann oder zu viele falsch-positive Ergebnisse liefert, um vertrauenswürdig zu sein. Sicherheitsverantwortliche sollten nach Anbietern Ausschau halten, deren Kunden der Größe des eigenen Unternehmens entspricht. Zudem sollten sie während des Proof of Concept sicherstellen, dass die Klassifizierung vollständige, kontextbezogene und aktuelle Ergebnisse liefert.
3. Tiefgreifende Analyse über die Datenklassifizierung hinaus
Die reine „Abdeckung“ einer Plattform sagt im Grunde nichts aus. Es kommt vielmehr darauf an, die Daten und ihre Nutzung im jeweiligen Datenspeicher analysieren zu können. Eine DSPM-Lösung muss mehr können als bloß zu beantworten, ob eine Datei sensitiv ist. Sie muss vielmehr die damit verbundenen Risiken erkennen und bewerten.
Idealerweise sollte sie Antworten auf Fragen wie diese bieten: Wer greift wie auf welche Daten zu? Gibt es ungewöhnliche Zugriffsmuster, die auf eine Gefährdung hinweisen könnten? Sind alle unsere sensitiven Daten richtig gekennzeichnet, damit unsere nachgelagerten DLP-Kontrollen funktionieren? Sind sensitive Daten für alle Mitarbeitenden oder gar öffentlich zugänglich? Verstoßen wir gegen Vorschriften zur Datenaufbewahrung? Wie hoch ist die Wahrscheinlichkeit, dass ein kompromittierter Benutzer sensitive Daten exfiltrieren kann? Und welche Daten sind veraltet und können archiviert oder gelöscht werden?
4. Automatisierte Abhilfemaßnahmen
CISOs brauchen kein weiteres Produkt, das ihnen sagt, dass es Probleme gibt, ohne eine automatische Möglichkeit zu deren Behebung anzubieten. Entsprechend sollte auch eine DSPM-Lösung über die reine Transparenz hinausgehen und die Behebung von Problemen auf den überwachten Datenplattformen automatisieren. Aber ganz ähnlich wie beim Begriff DSPM wird auch „Automatisierung“ gerne von Anbietern verwendet, ohne eine tatsächliche Automatisierung bieten zu können. Stattdessen wird häufig ein ServiceNow-Ticket erstellt, das ein menschlicher Security-Spezialist untersuchen, beheben und manuell schließen muss. Eine „echte“ Automatisierung nimmt beispielsweise Änderungen an der Zielplattform vor, um das Risiko zu beseitigen, nachdem sie die Änderung simuliert hat. Zudem trifft sie eigenständig Entscheidungen, ohne dass Sicherheitsverantwortliche auf Schaltflächen klicken müssen, damit ein Skript ausgeführt wird.
5. Echtzeit-Verhaltensanalyse und Incident Response
Daten sind das Ziel von fast allen Cyberangriffen und Insider-Bedrohungen. Für die Aufrechterhaltung einer starken Datensicherheitslage sind deshalb die Identifizierung sensitiver Daten und die Gewährleistung, dass nur die richtigen Personen auf diese zugreifen können, unerlässlich. DSPM muss jedoch auch in der Lage sein, den Datenzugriff zu überwachen, bei abnormalem Verhalten zu warnen und Bedrohungen in Echtzeit zu stoppen. Anbieter sollten deshalb über eine Funktion zur Reaktion auf Zwischenfälle und ein Cybersicherheits-Forschungsteam verfügen, das regelmäßig datenbezogene Bedrohungsanalysen veröffentlicht. Bei der Bedrohungserkennung und -abwehr sind dabei drei Punkte essenziell:
- Protokollierung aller Datenaktionen, nicht nur von Warnmeldungen: Bei einer Untersuchung benötigen Sicherheitsverantwortliche einen vollständig durchsuchbaren forensischen Prüfpfad innerhalb des DSPM.
- Warnung bei ungewöhnlichem Verhalten: Wenn ein DSPM nur über statische, regelbasierte Warnmeldungen verfügt (z. B. eine Warnung, wenn ein Benutzer mehr als 100 Dateien in weniger als einer Minute ändert), besteht die Gefahr, dass ausgeklügelte Angriffe und Insider-Bedrohungen übersehen werden. Deshalb sind Lösungen mit datenzentrierten Funktionen zur Analyse des Benutzer- und Entitätsverhaltens (UEBA) vorzuziehen.
- Unterstützung bei der Vorfallsreaktion: Idealerweise verfügt der Anbieter über ein qualifiziertes Team, dass bei einem Sicherheitsvorfall zur Seite steht.
Der Markt für DSPM-Lösungen ist in Bewegung. Neben den hier aufgeführten Punkten sollten Sicherheitsverantwortliche echte, validierte Bewertungen aus vertrauenswürdigen Quellen wie Gartner und Forrester berücksichtigen. Idealerweise können sie sich mit anderen CISOs über entsprechende Projekte austauschen. Nur so stellt man sicher, dass man nicht auf den schönen Schein hereinfällt, sondern echtes DSPM erhält.
Autor: Volker Sommer, Regional Sales Director DACH & EE von Varonis Systems
www.varonis.com