什么是数据检测与响应 (DDR)？

DDR 为何重要？

在当今动态的网络安全环境中，数据检测和响应至关重要， 数据泄露 带来的风险已上升到前所未有的水平。 2024 年数据泄露调查报告》（DBIR） 描绘了一幅令人担忧的图景，揭示了惊人的 10626 起确认数据泄露事件，这是迄今为止记录在案的最高数字。

了解数据泄露的广泛性

在 DBIR 分析的漏洞中，有 68% 的漏洞涉及人为因素，这说明组织需要优先考虑能够迅速识别和应对人为错误的数据恢复解决方案。报告强调，与前几年相比，通过利用漏洞发起的入侵事件急剧增加了 180%，从而加剧了这一挑战。

然后是勒索软件。没有人会认为这种事情会发生在自己身上，然而勒索软件和勒索技术却占了所有外泄事件的 32%，这还是引用了 2024 年 DBIR 的数据。实施有效的数据检测和响应策略将有助于组织快速识别威胁并减轻其影响，保护敏感数据，维护组织的声誉和财务状况。

近距离观察数据面临的最大风险

如上所述，包括人为错误在内的多种因素会给数据带来风险。此外，还有影子数据和数据碎片，每种情况都会带来独特的漏洞，有可能危及数据的完整性、保密性和可用性。

人为错误：基本风险

人为错误仍然是数据安全最普遍的威胁。无论是意外删除、敏感信息管理不善、密码使用不当，还是成为网络钓鱼攻击的受害者，个人往往会无意中造成漏洞。即使是最复杂的安全系统，也可能因为一个错误而遭到破坏，因此人为错误成为贯穿 数据安全各个方面的基本风险。

影子数据

人为错误最令人担忧的副产品之一就是 影子数据的扩散。该术语是指存在于官方管理和安全系统之外的数据，通常存储在未经许可的云服务、个人设备或被遗忘的备份中。

影子数据通常不会受到常规安全协议的保护，因此特别容易遭到破坏。员工可能会无意中在不安全的地方创建或存储这些数据，却没有意识到他们的行为所带来的风险。影子数据的隐蔽性造成了组织安全策略的盲区。

多云生态系统中的数据碎片

在多云环境中，数据碎片是一个固有的风险因素。由于数据分布在多个云平台上，而这些云平台的安全标准和管理实践往往各不相同，因此保持一致的保护变得越来越困难。当然，碎片化会使统一安全策略的执行复杂化，并增加攻击面--尤其是在云之间传输数据时。对零散数据缺乏可见性和控制进一步加剧了风险，使跟踪 数据移动、检测异常或确保监管合规性变得十分困难。

风险的交叉点

数据风险因素相互交织，因为人为错误会导致影子数据的产生，而当数据在多云环境中分散时，影子数据又会提升风险。现在想想，数据经常在运动，从一个位置移动到另一个位置。这些风险如果得不到有效保护，就会形成百慕大三角。

通过动态监控改进 DSPM 解决方案

到此为止，我们讨论的 DSPM 功能主要是指静态风险--查找敏感数据、对其进行分类以及审查适用于这些数据的访问控制和配置。

不过，要保持有效的数据安全态势，你需要持续监控和分析数据访问模式和用户行为。数据检测和响应（DDR）就是这样做的。

DDR 提供实时监控和警报功能，帮助安全小组快速检测并应对潜在威胁和可疑活动--同时它还能优先处理会危及敏感数据的问题。通过利用机器学习算法和先进的日志分析技术，DDR 可以识别用户行为和访问模式中的异常情况，这些异常情况可能表明账户受到入侵或存在内部威胁。

数据检测与响应 (DDR) 的近距离观察

DDR 描述了一套用于确保云数据安全、防止数据外泄的技术解决方案。它在 CSPM 和 DSPM 工具提供的静态防御层之上提供动态监控。

当今的组织在各种云环境中存储数据，包括 PaaS （如 Amazon RDS）、 IaaS （运行数据存储的虚拟机）和 DBaaS（如 Snowflake），因此监控每一个数据操作都是不可行的。DDR 解决方案使用实时日志分析来监控存储数据的云环境，并在数据风险发生时立即检测出来。

DDR 解决方案的工作原理

数据检测和响应解决方案结合了 DSPM 功能，可发现数据资产并 对其进行分类 ，识别未加密敏感数据或违反数据主权等风险，并由数据所有者或 IT 部门优先进行补救。一旦敏感数据资产被映射，DDR 解决方案就会通过公共云中可用的云原生日志监控活动，为每次查询或读取请求生成事件日志。

DDR 工具对日志进行近乎实时的分析，应用威胁模型检测可疑活动，如流向外部账户的数据。一旦发现新的风险，DDR 就会发出警报并建议立即采取行动。这些警报通常会集成到 SOC 或 SOAR（安全协调、自动化和响应）解决方案中，以便更快地解决问题，并与现有业务实现无缝对接。

DDR 使用案例

为了了解 DDR 解决方案可以解决哪些类型的事件，请看我们用户中的几个例子。

数据主权问题

近年来的立法规定了在特定地理区域（如欧盟或加利福尼亚州）存储数据的义务。DDR 可帮助检测数据是否流向未经授权的物理位置，从而防止出现合规性问题。

移至未加密/不安全存储的资产

当数据在数据库和云存储之间流动时，它可能会进入不安全的数据存储（通常是临时但被遗忘的解决方法的结果）。DDR 会提醒安全小组注意这类移动。

快照和影子备份

团队面临着越来越大的压力，需要利用数据完成更多工作，这导致在已批准的工作流程之外普遍存在影子分析。DDR 可帮助查找以可能导致漏洞的方式存储或共享的数据副本。

DDR 如何融入云数据安全格局？

DDR 与 CSPM 和 DSPM 的比较

云安全态势管理

CSPM 是指保护云基础设施的态势（如过于宽松的权限或配置错误）。它并不直接涉及数据--数据的上下文以及数据如何在不同云服务之间流动。

数据安全态势管理

DSPM 可从内部保护数据。通过扫描和分析存储数据，DSPM 工具可识别 PII 或访问代码等敏感信息，对数据进行分类，并评估其相关风险。这一流程可让安全小组更清晰地了解数据风险和数据流，使他们能够优先处理外泄可能造成最大损失的云资产。

虽然 DSPM 可提供更细粒度的云数据保护，但 CSPM 和 DSPM 都是静态的，且侧重于态势。它们允许组织了解风险所在，但在实时事件响应方面提供的帮助却很少。

相比之下，DDR 是动态的。它关注实时发生的数据事件，发送警报，让安全小组有机会进行干预，防止重大损失。DDR 可监控具体的事件级别，而其他解决方案则查看静态的配置和数据。

潜在的情况

考虑这样一种情况，即一名员工可以根据角色授权访问包含客户数据的数据库。该员工计划离开公司，在通知经理其离职意向之前，将数据库复制到个人笔记本电脑上，带到下一家公司。

在此示例中，权限允许员工访问 数据库 ，但重大 数据外泄 事件正在发生。具有校准良好的威胁模型的 DDR 解决方案可检测到该导出中包含的不寻常批次数据（和其他异常情况）。DDR 工具会向安全小组发出警报，并提供全面取证--精确定位参与外渗的资产和行为者。安全小组可以在 内部威胁 达到目的之前进行干预，从而节省关键时间。

首席信息安全官议程是否需要额外的网络安全工具？

DDR 可提供现有云安全堆栈中缺少的关键任务功能。当代理不可行时，您需要监控与数据有关的每项活动。DDR 可保护您的数据不被外泄或滥用，也不会违反合规性规定。通过与 SIEM 和 SOAR 解决方案集成，使团队能够在一个地方消费警报，DDR 有助于减少运营开销。

需要无代理 DLP

实时监控数据资产看似显而易见，但大多数组织都缺乏保护敏感数据的适当方法。在传统的本地部署世界中，工作主要是在通过内联网连接到服务器的个人电脑上完成的。安全小组通过在每个可以访问组织数据的设备和端点上安装代理（防病毒工具等软件组件）来监控流量和活动。

但你无法在亚马逊或谷歌托管的数据库上安装代理，也无法在数千个数据存储前放置代理。向云基础设施的迁移要求采用新的方法来 防止数据丢失（DLP）。

业界倾向于采用静态解决方案，通过检测配置错误和暴露的数据资产，改善云 数据存储 （CSPM、DSPM）的安全态势。但在 DDR 之前，数据流的难题一直没有得到解决。

当静态防御层不够用时漏洞教训

2018 年 Imperva 入侵 事件的起因是攻击者获取了包含敏感数据的亚马逊 RDS 数据库快照。攻击者使用了从一个可公开访问且配置错误的计算实例中窃取的 AWS API 密钥。

CSPM 和 DSPM 是否能防止漏洞的发生？

CSPM 解决方案可以识别配置错误，DSPM 可以检测到存储在配置错误实例上的敏感数据。不过，一旦攻击者获得看似合法的访问权限，这两种工具都无法识别异常行为。

而在 2018 年，Imperva 的漏洞在 10 个月后才通过第三方被发现。攻击者将数据库快照导出到了一个未知设备上，而此时，不知情的公司却无法通知用户他们的敏感数据已经泄露。

DDR 解决方案本可以通过在事件日志级别监控 AWS 账户来弥补这一漏洞。如果能实时识别攻击，就能向内部安全小组发出警报，让他们立即做出反应。

支持创新而不牺牲安全

云将继续存在， 微服务 和 容器也将继续存在。作为网络安全专业人员，我们不能阻止组织采用能加速创新并赋予开发人员更多灵活性的技术。但我们必须竭尽全力防止数据泄露。

带有 DDR 的 DSPM 可提供以前在云安全领域缺失的关键 数据-- 数据发现、分类、静态风险管理，以及对复杂的多云安全环境进行持续和动态监控。为组织提供有效管理数据安全态势所需的可视性和控制力，使组织能够更早地发现事故，避免或最大限度地减少灾难性的数据丢失。

DSPM 和数据检测与响应常见问题解答