Extienda la seguridad total de los datos a la nube pública con DSPM

Recientemente, los ataques dirigidos directamente a la nube han aumentado un 288 %.¹ Ahora que las organizaciones envían zettabytes de datos a la nube, esta es una fórmula para el desastre. Además, con datos confidenciales como PII, PCI, PHI y secretos diseminados por múltiples nubes, cuentas, servicios y almacenes de datos (sumado a una visibilidad y comprensión deficientes), priorizar sus datos en la nube simplemente ya no es una opción. Es un requisito.

Los enfoques actuales de seguridad de datos son insuficientes

Las organizaciones pueden gastar millones de dólares cada año en múltiples soluciones de seguridad para proteger sus datos. Pero este enfoque no es escalable y requiere muchas operaciones manuales, lo que genera una sobrecarga de alertas y más brechas de seguridad, especialmente en entornos multinube complejos. Mientras tanto, el costo medio mundial de una violación de datos aumentó un 15 % en los últimos tres años, hasta aproximadamente 4.45 millones de dólares, y el 82 % de las violaciones de datos afectaron a datos almacenados en entornos de nube.²

Además, con el enfoque tradicional de la seguridad de los datos, las organizaciones tienen dificultades para:

• Detecte y clasifique datos en la nube: ¿Dónde se almacenan los datos confidenciales? ¿Qué tipo de datos son?
• Identifique los datos en la nube: ¿Quién tiene acceso a estos datos? ¿Cumple la normativa?
• Contextualice los datos de la nube: ¿Están expuestos los datos? ¿Cuál es la postura de seguridad de mis datos?

¡Hola a todos! Les presentamos Zscaler Data Security Posture Management (DSPM)

Para hacer frente a los desafíos actuales de seguridad de los datos en la nube, estamos encantados de lanzar nuestra solución Zscaler DSPM totalmente integrada para clasificar, detectar y proteger de manera proactiva +sus datos en la nube.

Como parte de la plataforma Zscaler AI Data Protection, Zscaler DSPM extiende la seguridad robusta y mejor en su clase para sus datos en la nube pública. Proporciona una visibilidad granular de los datos en la nube, clasifica e identifica los datos y el acceso, y contextualiza la exposición de los datos y la postura de seguridad, facultando a los equipos de seguridad para prevenir y remediar las violaciones de datos en la nube a escala.

A diferencia de las soluciones de seguridad de datos heredadas o independientes, utiliza un motor DLP único y unificado para ofrecer una protección de datos uniforme en todos los canales, como puntos finales, correo electrónico, SaaS y, ahora, IaaS/PaaS. Mediante el seguimiento de todos los usuarios en todas las ubicaciones y el control de los datos en uso, en movimiento y en reposo, garantiza que tanto los datos estructurados como los no estructurados estén perfectamente protegidos y cumplan la normativa.

Principales capacidades y ventajas:

• Detecte y clasifique datos: escanee y detecte datos confidenciales en varias plataformas y servicios en la nube en tiempo real. Aproveche la clasificación de datos precisa basada en IA respaldada por Zscaler Zero Trust Exchange™, que supervisa miles de millones de transacciones diariamente.
• Mapee y rastree la exposición: obtenga una vista unificada de la seguridad, el inventario y el cumplimiento de los datos confidenciales en su entorno multinube. Obtenga una visión granular, basada en los riesgos y centrada en el usuario, de todas las rutas de acceso a los activos de datos y configuraciones de misión crítica. Analice riesgos ocultos como configuraciones erróneas, permisos excesivos y vulnerabilidades.
• Remediar el riesgo: mitigue los riesgos de manera proactiva identificando las posibles brechas de seguridad e implementando los controles necesarios, y solucione fácilmente los problemas y las infracciones en su origen con una corrección guiada basada en el contexto.
• Garantizar una postura de seguridad uniforme: aplique una seguridad de datos uniforme y de primera clase en todas partes, desde el punto final hasta el correo electrónico, SaaS, la nube pública, etc.
• Garantía de cumplimiento: garantice el cumplimiento continuo de las regulaciones de la industria y los estándares de protección de datos. Mapee continuamente la postura frente a marcos normativos como RGPD, HIPAA y PCI DSS para identificar y remediar las violaciones del cumplimiento.
• Flujos de trabajo integrados: integre a la perfección su ecosistema de seguridad existente, los servicios de terceros, las herramientas nativas de priorización de riesgos y las aplicaciones de colaboración en equipo.

Cómo Zscaler DSPM puede resolver sus problemas de seguridad reales

Detecte y clasifique sus datos más confidenciales

Para comprender sus datos en la nube pública, incluidos qué tipos de datos se almacenan, los servicios que almacenan los datos y dónde se encuentran los datos confidenciales, Zscaler DSPM puede escanear toda su organización o cuentas específicas que desea proteger. De manera predeterminada, Zscaler DSPM tomará todos los clasificadores de IA, diccionarios y motores DLP listos para usar disponibles, así como cualquier motor personalizado, para detectar y clasificar los datos.

DSPM permite a los equipos de seguridad detectar y clasificar datos en múltiples ubicaciones de red y nube. Proporciona visibilidad integral de la ubicación de los archivos, la categorización, la clasificación, los permisos de acceso y los riesgos de cumplimiento. Esto ayuda a identificar configuraciones erróneas, controles de acceso inadecuados y vulnerabilidades que podrían provocar violaciones de datos.

Figura 1: Panel de control de DSPM - detección de datos 

Los equipos de seguridad pueden profundizar en la investigación de los datos centrándose en un tipo de datos específico, para conocer información relacionada como el volumen, dónde están dispersos geográficamente y los servicios que almacenan este tipo de datos. Por ejemplo, podemos ver que los historiales médicos se almacenan mayoritariamente en buckets de almacenamiento, algunos en unidades VM y solo unos pocos se detectaron en bases de datos.
 

Para algunas organizaciones, es importante inspeccionar los datos desde una perspectiva geográfica, como una geografía específica o una vista del desglose de los datos por geografía. Con geo-fencing, Zscaler DSPM puede ayudar a las organizaciones a inspeccionar y restringir el uso de datos a ubicaciones/geografías específicas.
 

Los equipos de seguridad pueden obtener claridad en cuanto a los tipos y el volumen de datos almacenados en cada ubicación y comprender el desglose por tipo de almacenamiento de datos. Esto ofrece una potente visibilidad y control sobre los datos que se ejecutan en sus nubes, lo que permite a los equipos optimizar la configuración del DSPM, manteniéndolo como un amplio análisis completo o centrado en tipos de datos específicos que les interesan.

Figura 2: Panel de control de DSPM - vista de 360 grados de los almacenes de datos en el inventario de datos

Los equipos de seguridad pueden profundizar un poco más en la investigación. Desde cualquiera de los enlaces, puede desglosar hasta un único nivel de almacén de datos, examinar la información específica que contiene y obtener visibilidad del almacén de datos. Esto facilita la comprensión de la postura, la obtención de información sobre la manera en que se etiquetan los datos o la obtención de muchos otros tipos de información (por ejemplo, el proyecto del que forma parte, el propietario) para ayudar a comprender mejor los datos.

Identifique, investigue y corrija los riesgos

Tras pasar por diferentes modos de inspección, los equipos de seguridad tienen ahora una claridad total sobre el paradero de los datos en la nube. Su próxima preocupación sería:

• ¿Cuáles son las principales preocupaciones y riesgos de seguridad para los datos?
• ¿La configuración actual de las políticas de seguridad restringe el riesgo de pérdida de datos?
• ¿La configuración actual ofrece controles adecuados para evitar el acceso malintencionado o la exposición accidental de los datos?
• ¿Cuál puede ser el siguiente paso para proteger los datos confidenciales en la nube y mantener una postura de seguridad uniforme?

DSPM puede abordar estas inquietudes automáticamente, utilizando algoritmos de IA y ML combinados con correlación de amenazas avanzada para identificar y priorizar los riesgos de datos. Analiza el contexto y el contenido de los datos para identificar la información confidencial (por ejemplo, propiedad intelectual, información de identificación personal, historiales médicos), priorizar los riesgos de los datos y ayudar a los equipos de seguridad a centrar sus esfuerzos en la protección de los activos de datos más críticos.

Figura 3: Panel de control de DSPM - Principales almacenes de datos de riesgo

Basándose en los resultados de la postura y en los datos confidenciales, el sistema clasifica los almacenes de datos de mayor a menor riesgo que suponen para la organización. Básicamente, si solo dispone de una hora para mejorar su riesgo en la nube, empiece por la parte superior de este panel de control y continúe hacia abajo.

También se puede ver que se generaron alertas, cada una de las cuales describe un vector de ataque que generó preocupaciones. La vista de alertas de DSPM proporciona una visión precisa, pero sencilla, que detalla el problema detectado. En el ejemplo de la figura 3, el impacto de un posible ataque a través de estos vectores sería enorme, ya que ese bucket de S3 contiene un gran volumen de registros confidenciales. En conjunto, estos factores generan un riesgo crítico.

Una vez que los equipos de seguridad entienden esto, el siguiente paso suele ser obtener toda la información sobre el almacén de datos y resolver los posibles problemas, reduciendo así el riesgo para la seguridad de los datos. DSPM ofrece una comprensión completa de los problemas de seguridad con una guía de corrección paso a paso para ayudar a los equipos de seguridad, a los equipos multifuncionales y a las partes interesadas del proyecto a abordarlos.

Veamos un ejemplo para comprender cómo la DSPM puede ayudar a identificar, priorizar y remediar los riesgos.

Figura 4: Vista detallada de la alerta

En este ejemplo, estábamos explorando un vector de ataque avanzado que permitía a un usuario malintencionado obtener acceso a datos confidenciales en un bucket de almacenamiento. Este bucket de almacenamiento está configurado correctamente: no hay acceso directo a él, está respaldado y tiene habilitados los registros pertinentes. Aun así, se expone a través de una ruta más avanzada: se puede acceder a ella desde varias máquinas virtuales (instancias de AWS EC2).

Un caso empresarial válido puede requerir este acceso. Por ejemplo, una máquina virtual puede ejecutar una aplicación que requiere acceso a los datos en el bucket de almacenamiento. Sin embargo, estas máquinas virtuales contienen algunas CVE y están configuradas de manera que pueden quedar expuestas públicamente.

Podrá saberlo todo gracias a la descripción de la alerta, el resumen y el gráfico. Esta alerta señala que un hacker puede acceder a cada una de estas máquinas virtuales (porque están expuestas públicamente), explotar la vulnerabilidad en sus paquetes en ejecución para obtener el control/acceso a esa máquina virtual y luego utilizarla para acceder a los datos del bucket. 

En este punto, los equipos de seguridad buscarán más información. Al seleccionar el nodo de servicios, puede cambiar el contexto para obtener más información sobre estas máquinas virtuales. Luego puede desplazarse por las máquinas virtuales, examinar sus vulnerabilidades, verificar de qué paquetes forman parte, si existe una solución y más.

Para obtener un mayor análisis de la ruta de ataque, puede explorar más a fondo a nivel directo de EC2 a través de la ruta de exposición pública.

Figura 5: DSPM - Detalles de la alerta

Figura 6: DSPM - Detalles de la alerta - Ruta de exposición pública

Aquí, podemos ver que la ruta de exposición pública para este EC2 comprende el grupo de seguridad y la VPC ACL asociados con la VM, un equilibrador de carga y un servicio de puerta de enlace a Internet. DSPM también destaca el grupo de seguridad con un signo de exclamación, lo que indica que desempeña un rol clave en esta exposición. Al hacer clic en el grupo de seguridad, se cambiará el contexto y se proporcionará información sobre el propio grupo de seguridad.

Figura 7: DSPM - Detalles de la alerta - Causa raíz de la exposición pública

Incluso si los miembros de su equipo no son expertos en la nube, podrán identificar fácilmente la causa raíz de la regla de entrada del grupo de seguridad. Esa regla permite el acceso directo. Pueden inspeccionar o copiar la regla y compartirla con el arquitecto o desarrollador de la nube que vaya a solucionar ese problema.

En otros casos, en lugar de (o además de) arreglar la exposición pública, los equipos tal vez deseen examinar los derechos concedidos a esta máquina virtual y explorar por qué tiene acceso al bucket de almacenamiento.

Figura 8: DSPM - Detalles de las alertas - Ruta de acceso

De manera similar a la vía de exposición pública, esta vez los equipos pueden hacer clic en la "vía de acceso" y observar una representación gráfica sencilla de los derechos de acceso. Los permisos en la nube pública son muy granulares. DSPM hace el trabajo pesado y explica ese acceso. En este caso, el EC2 tiene un perfil de instancia asociado con un rol determinado que está vinculado a tres políticas, cada una de las cuales otorga diferentes niveles de acceso al bucket.

Una vez más, los equipos pueden examinar cada uno de los objetos del gráfico, copiar los metadatos pertinentes o incluso ir directamente a la consola de AWS y solucionar los problemas. Gracias a nuestras capacidades de remediación, los equipos de seguridad pueden obtener una guía paso a paso sobre cómo resolver problemas y garantizar que sus datos en la nube permanezcan protegidos.

Para obtener más información sobre Zscaler DSPM, vea el seminario web de lanzamiento. 

Recursos adicionales

• Página web de DSPM: www.zscaler.com/dspm
• Ficha técnica: Zscaler DSPM de un vistazo
• Video de demostración de Zscaler DSPM

Notas a pie de página

1. Cloud Security Alliance, The Common Cloud Misconfigurations That Lead to Cloud Data Breaches, 11 de octubre de 2023.

2. IBM, Cost of a Data Breach Report 2023, 24 de julio de 2023.