Shadow data and DSPM

Les Shadow data sont des informations sensibles stockées dans des environnements cloud en dehors du champ d'application des contrôles informatiques ou de sécurité centralisés. 

Elle résulte souvent de :

• Données non tracées dans les environnements de développement, de stockage ou de test
• Sauvegardes ou copies créées à des fins d'analyse ou d'apprentissage automatique.
• Données laissées par des applications ou des projets abandonnés
• Mauvaise configuration des intégrations SaaS ou des services tiers.

Les données cachées peuvent inclure des enregistrements réglementés tels que des informations personnelles identifiables (PII), des informations personnelles de santé (PHI) ou des données financières. Ces données ne font généralement pas l'objet de contrôles d'accès, de chiffrement ou de surveillance appropriés, ce qui en fait une cible attrayante pour les attaquants et une responsabilité lors des audits.

Les données fantômes peuvent s'accumuler rapidement, en particulier dans les organisations dont le développement est décentralisé, la mise à l'échelle rapide ou les fournisseurs de services cloud multiples. 

Ces assets n'étant souvent pas documentés, les équipes de sécurité peuvent ne même pas savoir qu'ils existent, sans parler de leur configuration ou des personnes qui peuvent y accéder. Si elles ne sont pas surveillées, les données fantômes constituent une surface de menace invisible.

Les environnements modernes en nuage sont dynamiques et décentralisés. Les équipes fournissent l'infrastructure à la demande, intègrent les outils via des API et agissent rapidement pour soutenir le développement agile. Dans cet environnement, les données sont faciles à dupliquer mais difficiles à suivre.

Les équipes de sécurité ont du mal à suivre car :

Les données de l'ombre contournent la prévention traditionnelle de la perte de données (DLP) et prennent en charge la réponse aux incidents interfonctionnelle et la préparation à la conformité, en donnant aux équipes une visibilité partagée sur les risques cachés liés aux données.

Le principe de base d'un programme efficace de gestion de l'exposition consiste à identifier, évaluer et réduire de manière proactive toutes les formes de cyber-risques sur l'ensemble de votre surface d'attaque. 

Les données Shadow IT représentent un angle mort important dans cette surface, et le DSPM s'y attaque directement.

DSPM offre une visibilité granulaire permettant de comprendre où résident les données et comment les identités, les configurations et les chemins d'accès au réseau se combinent pour créer des chemins d'attaque exploitables. 

Il ne s'agit plus simplement de savoir que vous avez des données non gérées, mais de comprendre l'impact critique que ces données pourraient avoir en cas de violation.

L'intégration de la Plateforme de gestion de l'exposition de l'entreprise vous donne une vision globale du risque. Vous voyez comment les données de l'ombre, à votre insu, se connectent à des comptes trop privilégiés ou à des services cloud mal configurés. Il permet de hiérarchiser la remédiation en fonction de la probabilité et de l'impact d'un attaquant.

Lorsque vous surveillez en permanence les nouvelles données Shadow IT, vous les empêchez d'élargir votre surface d'attaque. Vous réduisez votre exposition avant que les attaquants ne puissent exploiter vos actifs cachés.

La gestion de la posture sécurité des données répond directement au défi des données de l'ombre en offrant une découverte, une classification et une analyse de l'exposition en continu.

Voici comment :

1. Découvrir et inventorier les données inconnues

Les plateformes DSPM scannent le stockage dans le cloud, les bases de données, les plateformes SaaS et l'infrastructure fantôme pour trouver les assets de données non gérés ou oubliés, notamment .

• Les buckets S3, le stockage blob et les data lakes non gérés.
• Instances de base de données ou environnements de test inutilisés
• Journaux, rapports et exportations natifs du cloud contenant des enregistrements sensibles.

2. Classer les données en fonction des risques et de la conformité

Les outils DSPM appliquent des modèles de classification pour étiqueter les informations sensibles en fonction de cadres de conformité ou de types de données personnalisés tels que le code source ou la propriété intellectuelle.

3. Analyser l'exposition et les combinaisons toxiques

Le DSPM analyse qui ou quoi peut accéder aux données et si les mauvaises configurations de l'infrastructure (par exemple, les buckets publics, les rôles IAM faibles) augmentent le risque.

4. Établir un ordre de priorité pour les problèmes à résoudre en premier lieu

Les scores de risque tiennent compte de la sévérité de l'exposition, de la sensibilité des données, de l'exploitabilité et du contexte commercial. Ils vous aident à vous concentrer sur ce qui réduit les risques, et pas seulement sur ce qui est bruyant.

DSPM aide les équipes de sécurité à se concentrer sur les problèmes à fort impact grâce au score de risque et aux graphiques d'exposition. Il peut s'agir de données cachées exposées à l'internet, de comptes de service dont les autorisations sont excessives ou de sauvegardes non chiffrées contenant des données sensibles. 

5. Remédiation et application de la politique

Les principales solutions DSPM guident la remédiation et s'intègrent aux plateformes d'infrastructure-as-code (IaC), de gestion de l'infrastructure et des droits cloud (CIEM) et de gestion de la posture sécurité cloud (CSPM) pour :

• Chiffrer ou supprimer les données non gérées
• Révoquer les accès inutiles
• Appliquer des contrôles cohérents dans tous les nuages

La DSPM permet également d'éviter l'apparition de données fantômes. 

L'intégration avec les workflows de provisionnement du cloud et les outils de Policy as Code permet d'appliquer automatiquement des garde-fous, de sorte que les nouveaux services héritent de valeurs par défaut sécurisées et d'un accès au moindre privilège dès le premier jour.

• Découverte de données fantômes: Obtenez un inventaire complet et toujours actualisé des données sensibles, même si les équipes les créent en dehors des processus formels.
• Prévention des brèches dans le nuage: Identifiez les combinaisons toxiques avant les attaquants et coupez les chemins d'attaque vers les assets oubliés.
• Préparation à la mise en conformité: Répondre aux attentes des contrôleurs en matière de gouvernance des données et de contrôle d'accès dans les environnements multi-cloud.

Incident response: Réduire le temps d'attente en veillant à ce que les intervenants sachent où se trouvent les données sensibles et quelles sont leurs expositions.

Tenable Cloud Security inclut des fonctionnalités de DSPM qui découvrent et classent en continu les données sensibles basées sur le cloud. 

Il permet :

• Détection automatisée des données d'ombre dans les environnements AWS, Azure, GCP et SaaS.
• L'analyse de l'exposition qui cartographie les chemins d'accès, les rôles et les mauvaises configurations.
• Remédiation guidée grâce à des intégrations avec les workflows CIEM, CSPM et IaC

Tenable peut aider votre entreprise à réduire les risques liés aux données non gérées, à prendre en charge le moindre privilège et à réagir plus rapidement en cas d'exposition potentielle.

Découvrez comment Tenable peut vous aider à trouver et à corriger les risques liés aux données de l'ombre.