什麼是資料偵測與回應 (DDR)？

DDR 為何重要？

在現今多變的網路安全環境中， 資料外洩 所造成的風險已升高到前所未有的水準，因此 資料 偵測與回應是不可或缺的。 2024 年資料外洩調查報告 (DBIR) 描繪出一幅令人憂心的圖畫，揭露了驚人的 10,626 宗經確認的資料外洩事件，是迄今為止最高的記錄。

瞭解資料外洩的範圍

DBIR 所分析的外洩事件中，有 68% 涉及人為因素，這顯示組織需要優先採用能夠迅速識別和回應人為錯誤的 DDR 解決方案。該報告指出，與前幾年相比，透過利用弱點而引發的入侵事件大幅增加了 180%，使挑戰更加複雜。

然後是勒索軟體。沒有人會認為這種事會發生在自己身上，然而勒索軟體和勒索技術卻佔所有外洩事件的 32%，同樣引用 2024 年的 DBIR。實作有效的資料偵測與回應策略，可協助組織快速識別威脅並降低其影響，保障敏感資料，維護組織的聲譽與財務狀況。

近距離觀察資料的最大風險

如上所述，包括人為錯誤在內的多種因素會使資料處於嚴重性風險中。再加上影子資料和資料分割，每種情況都會引發獨特的漏洞，有可能危及資料的完整性、機密性和可用性。

人為錯誤：基本風險

人為錯誤仍然是資料安全最普遍的威脅。無論是因為意外刪除、敏感資訊管理不善、密碼實務薄弱，或是成為網路釣魚攻擊的受害者，個人往往會造成意想不到的漏洞。即使是最精密的安全系統，也可能因為一個錯誤而遭到破壞，因此人為錯誤成為滲透 資料安全所有層面的基本風險。

陰影資料

人為錯誤最令人擔心的副產品之一就是 影子資料的擴散。這個詞是指存在於官方管理和安全系統之外的資料，通常儲存在未經認可的雲端服務、個人裝置或遺忘的備份中。

影子資料通常會逃離一般安全協定的範圍，因此特別容易受到攻擊。員工可能會無意間在不安全的位置建立或儲存這些資料，卻沒有意識到他們的行為所帶來的風險。影子資料的隱蔽性造成組織安全策略的盲點。

多雲生態系統中的資料碎片

在多雲環境中，資料分散是一個固有的風險因素。由於資料分佈在多個雲端平台上，通常有不同的安全標準和管理實務，要維持一致的保護變得越來越困難。碎片化當然會使統一安全政策的執行變得複雜，並增加攻擊面 - 尤其是在雲端之間傳輸資料時。對於零散的資料缺乏可見性和控制，進一步加劇了風險，使得追蹤 資料移動、偵測異常或確保合規性變得更具挑戰性。

風險的交集

由於人為錯誤導致影子資料的產生，因此資料風險因素相互交织，而當資料在多雲環境中分散時，又會提升風險。現在想想，資料經常在移動中，從一個位置移到另一個位置。如果沒有有效的保護，這些風險會造成百慕達三角區。

利用動態監控改善 DSPM 解決方案

我們之前討論過的 DSPM 功能主要是指靜態風險 - 尋找敏感資料、將資料分類，以及檢閱套用於這些資料的存取控制和組態。

不過，要維持有效的資料安全勢態，您需要不斷地監控和分析資料存取模式及使用者行為。資料偵測與回應 (DDR) 正是如此。

DDR 提供即時監控與警示功能，可協助安全性團隊快速偵測潛在威脅與可疑活動，並作出回應 - 同時它會優先處理將敏感資料置於風險中的問題。透過運用機器學習演算法和先進的日誌分析，DDR 可辨識使用者行為和存取模式的異常，這些異常可能顯示帳戶已遭妥協指標或內幕人士威脅。

近距離觀察資料偵測與回應 (DDR)

DDR 描述一套技術解決方案，用於保護雲端資料，防止資料外洩。它在 CSPM 和 DSPM 工具提供的靜態防禦層之上提供動態監控。

現今的組織在不同的雲端環境 - PaaS (例如 Amazon RDS)、 IaaS (執行資料儲存區的虛擬機器) 和 DBaaS (例如 Snowflake) - 儲存資料，要監控每個資料動作並不可行。DDR 解決方案使用即時日誌分析來監控儲存資料的雲端環境，並在資料風險發生時立即偵測出來。

DDR 解決方案如何運作

資料偵測與回應解決方案結合 DSPM 功能，可發現資料資產並加以 分類 、識別風險 (例如未加密的敏感資料或違反資料主權的情況)，並由資料擁有者或 IT 優先進行修復。一旦映射了敏感資料資產，DDR 解決方案會透過公共雲端的雲端原生日誌監控活動，為每次查詢或讀取請求產生事件日誌。

DDR 工具近乎即時地分析日誌，應用威脅模型偵測可疑活動，例如流向外部帳戶的資料。發現新風險時，DDR 會發出警報並建議立即採取行動。這些警示通常會整合到 SOC 或 SOAR (安全協調、自動化與回應) 解決方案中，以加快解決速度，並與現有作業無縫配合。

DDR 使用個案

若要瞭解 DDR 解決方案可解決的事件類型，請參考我們的使用者所見的幾個範例。

資料主權問題

近年來的立法規定了在特定地理區域（如歐盟或加州）儲存資料的義務。DDR 有助於偵測資料是否流向未經授權的實體位置，從而防止合規性問題的發生。

資產移至未加密/不安全的儲存空間

當資料在資料庫與雲端儲存區之間流動時，可能會流入不安全的資料儲存區 (通常是臨時但被遺忘的解決方案所導致)。DDR 會提醒安全性團隊注意此類移動。

快照與陰影備份

團隊面臨越來越大的壓力，需要利用資料做更多的工作，導致在核准工作流程之外的影子分析盛行。DDR 有助於尋找以可能導致外洩的方式儲存或共用的資料副本。

DDR 如何融入雲端資料安全格局？

DDR Vs. CSPM 和 DSPM

雲端安全勢態管理

CSPM 是關於保護雲端基礎架構的勢態 (例如過度慷慨的權限或設定錯誤)。它不會直接處理資料 - 其來龍去脈以及如何在不同雲端服務間流動。

資料安全勢態管理

DSPM 由內幕人士保護資料。透過掃描和分析儲存的資料，DSPM 工具可辨識 PII 或存取代碼等敏感資訊、將資料分類，並評估其相關風險。此流程可讓安全性團隊更清楚地瞭解資料風險與資料流程，使他們能夠優先處理外洩可能造成最大損害的雲端資產。

雖然 DSPM 可提供更細緻的雲端資料保護，但 CSPM 和 DSPM 都是靜態的，並著重於勢態。它們可讓 組織瞭解風險所在，但卻無法提供即時的事件回應。

相比之下，DDR 是動態的。它專注於即時發生的資料事件，傳送警示，讓安全性團隊有機會介入並防止重大損害。DDR 會監控特定的事件層級，而其他解決方案則會檢視配置和靜態資料。

潛在狀況

請考慮以下情況：員工獲得授權，可基於角色存取包含客戶資料的資料庫。員工打算離開公司，在通知經理其離職意圖前，將資料庫複製到個人筆記型電腦上，帶到下一家公司。

在這個範例中，權限允許該員工存取 資料庫 ，但卻發生了重大的 資料外洩 事件。具有校準良好的威脅模型的 DDR 解決方案可偵測到此匯出中所包含的不尋常批次資料 (以及其他異常情況)。DDR 工具會將警報傳送至安全性團隊，並提供完整的鑑識 - 確定滲透所涉及的確切資產和行動者。安全性團隊可在 內幕人士威脅 達成目標前介入，節省關鍵時間。

CISO 議程是否需要額外的網路安全工具？

DDR 可提供現有雲端安全性堆疊所遺漏的關鍵任務功能。當代理不可行時，您需要監控與資料有關的每項活動。DDR 可保護您的資料，防止資料外洩或濫用，以及違反合規性。透過與 SIEM 和 SOAR 解決方案整合，使團隊能夠在一個地方使用警報，DDR 有助於減少作業開銷。

無代理 DLP 的必要性

即時監控資料資產看似顯而易見，但大多數組織都缺乏足夠的方式來保護敏感資料。在傳統的內部部署世界中，工作主要是在透過內部網路連接至伺服器的個人電腦上完成。安全性團隊透過在每台可存取組織資料的裝置和端點上安裝代理程式（軟體元件，例如防毒工具）來監控流量和活動。

但您無法在 Amazon 或 Google 託管的資料庫上安裝代理程式，也無法在數千個資料儲存區前放置代理程式。遷移至雲端基礎架構需要新的 資料遺失防護 (DLP)方法。

業界傾向於採用靜態解決方案，藉由偵測設定錯誤和暴露的資料資產，改善雲端資料 儲存區 (CSPM, DSPM) 的安全勢態。但資料流的挑戰直到 DDR 才得以解決。

當靜態防禦層不夠時：資料外洩的教訓

2018 年 Imperva 外洩 事件的起因，是攻擊者取得包含敏感資料的 Amazon RDS 資料庫快照的存取權。攻擊者使用從可公開存取、設定錯誤的運算實例竊取的 AWS API 金鑰。

CSPM 和 DSPM 是否可以防止漏洞發生？

CSPM 解決方案可辨識設定錯誤，而 DSPM 則可偵測儲存於設定錯誤實體上的敏感資料。不過，一旦攻擊者取得看似合法的存取權限，這兩種工具都無法識別異常行為。

而隨著 2018 年的展開，Imperva 的外洩事件在 10 個月後才透過第三方被發現。攻擊者將資料庫快照匯出至未知裝置，而在此期間，不知情的公司無法通知使用者他們的敏感資料已遭洩漏。

DDR 解決方案可透過在事件日誌層級監控 AWS 帳戶來解決缺口。若能即時識別攻擊，就能提醒內部安全性團隊，讓他們立即採取因應措施。

在不犧牲安全性的前提下支援創新

雲端、 微服務 和 容器都會持續發展。身為網路安全專業人員，我們不能阻止組織採用可加速創新並讓開發人員更具彈性的技術。但我們必須竭盡所能防止資料外洩。

具備 DDR 的 DSPM 可提供之前在雲端安全性領域中缺失的關鍵 資料- 資料發現、分類、靜態風險管理，以及對複雜的多雲端環境進行不斷地動態監控。為組織提供有效管理資料安全勢態所需的可見性與控制力，讓組織能及早發現事故，避免或減少災難性的資料遺失。

DSPM 和資料偵測與回應常見問題集