Data Security Posture Management (DSPM) – Credos für die Praxis
Der kürzlich veröffentlichte Cloud Security Report 2023 zeigt einen beunruhigenden Trend: Datenschutzverletzungen haben Fehlkonfigurationen als Hauptursache für Cloud-Sicherheitsvorfälle überholt. Verwunderlich ist das allerdings nicht. Letztes Jahr wurde berichtet, dass fast die Hälfte der Unternehmen im Schnitt mindestens eine Datenbank oder ein Speichermedium dem öffentlichen Internet ausgesetzt hat. Zeit also für ein Data Security Posture Management (DSPM).
Das ist per se nicht etwas Schlechtes, aber wenn man die Häufigkeit von Fehlkonfigurationen, Schwachstellen und Ähnlichem hinzurechnet, steigt das Potenzial für Sicherheitsvorfälle drastisch. Datensicherheit ist mithin für jedes Unternehmen ein wichtiges Anliegen. Aber wie sieht eine gute Strategie für Data Security Posture Management (DSPM) in der Praxis aus?
Bedrohungen erkennen und sichtbar machen
Die goldene Regel der Cloud-Sicherheit ist Sichtbarkeit – frei nach dem Motto: „Was man nicht sehen kann, kann man auch nicht schützen.” Das trifft genauso auf die Datensicherheit zu. Alle Datensicherheitsdienste stellen vorkonfigurierte Kriterien bereit, die (wenn sie erfüllt sind) Daten als „sensibel“ kennzeichnen. Die meisten dieser Dienste ermöglichen es auch, benutzerdefinierte Kriterien zu erstellen. Die lassen sich in einigen Fällen auch miteinander kombinieren. In Kombination mit maschinellem Lernen und Metadaten-Clustering ermöglichen sie es sogar, alle sensiblen Daten der Speicherumgebungen genau zu identifizieren.
DSPM: Daten richtig klassifizieren
Technisch gesehen erfolgt die Klassifizierung der Daten unmittelbar nach ihrer Identifizierung – obwohl es den meisten Benutzern so vorkommen wird, als würden die beiden Schritte gleichzeitig erfolgen. Dabei werden sie auf Grundlage der auslösenden Kriterien klassifiziert. Zum Beispiel wird eine Zahlenfolge als sensibel eingestuft, weil sie die Kriterien für eine Sozialversicherungsnummer erfüllt, und wird dann als „PII“ (Persönlich Identifizierbare Information) klassifiziert. Um diesen Prozess in Aktion zu beobachten, kann man beispielsweise ein S3-Buckt einrichten, dieses mit „Dummy-Daten“ befüllen und dann dabei zusehen, wie der DSPM-Prozeß die Daten erkennt und anhand der festgelegten Kriterien kennzeichnet.
Kontext prüfen und kontinuierlich überwachen
Sobald die Daten identifiziert und klassifiziert sind, sind weitere kontextbezogene Informationen erforderlich. Man sollte also wissen, so sich die Daten befinden, wohin sie gegebenenfalls kopiert oder verschoben wurden und wer darauf zugreifen darf. Das sind nur einige Beispiele für die (Meta-) Informationen, die eine gute Datensicherheitslösung zu sammeln beginnt. Diese Informationen helfen den verwendeten LLMs, Muster oder Grundlinien zu erstellen, damit die Daten wirksam überwacht werden können. Bestimmte Datenschutzvorschriften verlangen eine kontinuierliche Überwachung, so dass den Überwachungs- und Protokollierungsfunktionen besondere Aufmerksamkeit gewidmet werden sollte.
Kontextbezogene Risikobewertung durchführen
Nicht alle Daten sind jedoch gleichermaßen sensibel. Wenn zum Beispiel eine persönliche E-Mail-Adresse durchsickert, ist das bei weitem nicht so besorgniserregend wie eine offen gelegte Sozialversicherungsnummer, IBAN, Adresse oder Gesundheits-Falldaten. Werkzeuge, die Daten nach ihrer Sensibilität einstufen können, sind obligatorisch. Um noch einen Schritt weiterzugehen, können bestimmte Sicherheitsplattform auf der Grundlage verschiedener Faktoren auf besonders risikoreiche Assets aufmerksam machen. Damit wird sichergestellt, dass Sicherheitsverantwortliche sich auf die Risiken konzentrieren, die wirklich Schaden anrichten können.
Reaktion auf den Ernstfall proben
DSPM ist größtenteils präventiver Natur – trotzdem sollte man wissen, was im Ernstfall zu tun ist. Eine gute Strategie identifiziert und analysiert die Risiken für alle Daten und hilft bei der Einteilung, welche Ressourcen vorrangig behoben werden müssen, und welche warten können. Mit diesem Wissen sind die DevOps- und (Dev)SecOps-Teams in der Lage, besser zusammenzuarbeiten, um sicherzustellen, dass risikobehaftete Ressourcen schnell erkannt und Proleme behoben werden und somit die Produktivität nicht beeinträchtigt wird.
Datensicherheit ist kein leichtes Unterfangen und technisch recht komplex. Derweil stellen Datenlecks mittlerweile die größte Sorge im Bereich der Cloud-Sicherheit dar. Eine gute DSPM-Strategie umfasst die Identifikation und Klassifikation von Daten, die Erfassung kontextueller Informationen, die Bewertung von Risiken und die entsprechende Behebung sowie Reaktion darauf. Mit einer modernen DSPM-Lösung aber ist es kein Hexenwerk, den nötigen Schutz zu erhalten und eine umfassende Datensicherheit zu gewährleisten.