資料資安態勢管理 (DSPM) 是指用來監控、管理及保護雲端資料的工具、技術及流程。
目錄
今日企業不僅靠資訊來驅動,而且高度仰賴雲端環境所儲存及分享的資訊。因此,保護雲端內的敏感、機密及專屬資料,已成為第一要務。
資料資安態勢管理 (DSPM) 涵蓋了各種企業可設置來保護雲端資料的措施、程序及實務。
確切來說,DSPM 能夠:尋找並發掘雲端和多重雲端環境內的敏感資料、管控誰可以存取這些資料、防範資料安全框架當中的任何潛在缺失或漏洞,以及協助您強化企業的整體資料資安態勢。
有別於聚焦在端點裝置、網路或應用程式的防護,DSPM 採取以資料為優先的方法來發掘、評估及保護已經上傳或分享至整個雲端環境的敏感資料。
DSPM 會利用授權與存取控管、資料外洩防護 (DLP) 工具、資料加密、身分與存取管理 (IAM) 流程、資料遮罩 (data masking)、資安事件管理 (SIEM),以及持續監控與評估雲端資料來達成以下目標:
- 主動防範駭客入侵、洩密、資料竊取,以及資料外洩。
- 追蹤及發掘重複資料與影子資料的來源。
- 減少或消除權利過高或過度授權的敏感資料存取權限。
- 發掘資料防護系統與雲端資料儲存內缺少、不完整或錯誤的組態設定。
- 確保符合所有資料隱私相關的政府與產業法規。
- 保護敏感或機密資料,防止資料遭到未經授權的存取、損毀或竊取。
為何 DSPM 是現代化網路資安的重要一環?
隨著越來越多資料移轉至雲端環境,DSPM 讓企業更清楚掌握自己的資料在哪裡,以及誰可以存取這些資料。除此之外,它也是一套強大的新式工具,能協助企業防範雲端、多重雲端及混合雲端環境的資料外洩,避免關鍵或敏感的資料資產落入不肖之徒手中。
資料資安態勢不佳的風險
資料資安態勢不佳有可能讓企業面臨嚴重且影響深遠的後果,包括:
- 容易遭遇資料竊取、外洩以及其他網路攻擊。
- 永久性的品牌或商譽受損。
- 因為違反通用資料保護法 (GDPR)、健康保險可攜性與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS) 以及加州消費者隱私法 (CCPA) 等資料隱私法規而遭到高額的罰鍰或法律懲罰。
DSPM 在網路資安當中的角色
除了管理及防範雲端資料的資安風險之外,DSPM 還能支援您企業的雲端合規作業,加快您對駭客及其他威脅的回應速度,並確保在遭遇網路攻擊時還能維持業務永續性。
DSPM 如何運作?
絕大多數資料資安態勢管理 (DSPM) 解決方案都遵照以下五個步驟:
- 資料搜尋:DSPM 流程首先會持續掃描所有企業內伺服器和雲端環境,藉此追蹤、尋找及發掘需要保護的敏感或機密資料資產。
- 資料分類:接下來,根據一套預先設定的條件來將資料分類,例如資料的敏感程度、使用或儲存的安全性、誰可以存取這些資料,以及這些資料是否適用 GDPR、HIPAA、PCI DSS、CCPA 或其他法規框架。
- 風險評估:所有資料資產都會經過分析和評估,以判斷是否有任何迫切的資安漏洞,並評估其遭到駭客入侵、組態設定錯誤、外洩,或未經授權存取的風險。
- 風險矯正:一旦發現風險,相關資料資產就會依風險與重要性來判斷其優先次序。這樣一來,就能採取具體步驟來降低、矯正或防範潛在風險以確保資料的安全,包括:實施更嚴格的授權與存取控管、更進階的資料加密技術,以及資料外洩防護 (DLP) 工具。
- 持續監控與評估:往後,所有敏感資料資產的使用與移動都會持續受到監控和評估,藉此發掘任何異常狀況、找出潛在的威脅或違反資料安全政策的情況,並確保防護與網路資安措施能正常運作、發揮作用,並且隨時保持更新。
為了進一步提升您企業的資料資安態勢,DSPM 解決方案的設計通常會與現有的防護與網路資安系統及實務整合。這讓 DSPM 解決方案能與其他網路資安工具和技術互相搭配運作,包括:身分與存取管理 (IAM)、端點偵測及回應 (EDR)、威脅偵測及回應,以及資安事件管理 (SIEM)。
建置 DSPM 的主要挑戰為何?
雖然其優勢相當明顯,但企業在建置資料資安態勢管理策略時,仍可能面臨一些挑戰。包括:
- 可視性不足,無法確實掌握敏感資料資產的位置、存取控管與權限。
- 影子資料與資料擴散的管理,包括各種不同的雲端服務、應用程式及環境。
- 得消除大量的誤判與不準確的紅色警報,以便減少「警報疲勞」的情況。
- 須確保整個企業都符合 DSPM 政策、實務與法規,包括員工、承包商、服務供應商以及其他第三方。
為了克服這些障礙,企業必須制定一套明確的藍圖來規劃要如何開發、部署及建置 DSPM 解決方案。此外,也可考慮與經驗豐富的 DSPM 服務供應商合作,享受他們的專業所帶來的效益,並善用最新的資料安全措施、工具和情報。
一旦建置好 DSPM 解決方案,企業就應該實施一套明確而一致的政策來持續訓練所有資安人員,讓他們了解資料安全的目標、效益和最佳實務原則,並且讓所有可存取敏感或雲端資料的員工都能了解 DSPM 政策和程序的重要性。
哪裡可以取得有關資料資安態勢管理 (DSPM) 的協助?
Trend Vision One™ Cloud Security 是一套強大且全方位的資料資安態勢管理平台,專為雲端、混合雲及多重雲端環境而設計。
我們的 Cloud Security 提供了詳細的資料資產與控管措施檢視,以及雲端資產與系統的全面管理,能與現有的防護與網路資安系統無縫整合,提供無可匹敵的能力來即時預測、偵測及回應最新且最進階的資安威脅 。
此外,Cloud Security 的集中式儀表板還可讓您監控您敏感資料的確切位置、即時控管誰可以存取這些資料,並且守護您的整個攻擊面,防範資料外洩、駭客入侵以及其他網路攻擊威脅。
有了 Cloud Security,您的企業就能輕鬆達成您的策略目標。
Fernando Cardoso
產品管理副總裁
Fernando Cardoso 是趨勢科技產品管理副總裁,專精於不斷演進的 AI 與雲端世界。在他職業生涯的一開始,曾擔任過網路與銷售工程師,磨練了他在資料中心、雲端、DevOps 以及網路資安領域方面的技能,而這些領域至今依然能持續激發他的熱情。
常見問題 (FAQ)
何謂資料資安態勢?
資料資安態勢是指企業為了保護敏感或機密資料而設置的所有政策、工具和系統的統稱。
何謂資料資安態勢管理?
資料資安態勢管理是一種防範敏感或機密資料遭到外洩、駭客入侵以及網路攻擊的策略方法。
資料資安態勢管理的關鍵要素為何?
資料資安態勢管理 (DSPM) 的關鍵要素包括:資料發掘、資料分類、風險評估、風險矯正,以及持續監控與評估。
企業該如何改善自己的資料資安態勢?
企業可利用自動化存取控管、資料加密技術、資料外洩防護 (DLP) 工具來保護敏感資料,進而提升自己的資料資安態勢。
DSPM 與傳統資料外洩防護 (DLP) 工具有何不同?
DSPM (資料資安態勢管理) 提供了比傳統資料外洩防護 (DLP) 工具更全面、更策略性、且更主動的資料防護方法。
DSPM 和 CSPM 有何差別?
資料資安態勢管理 (DSPM) 是用來發掘及保護敏感資料,雲端資安態勢管理 (CSPM) 是用來發掘雲端基礎架構的漏洞以保護雲端環境。
DSPM 能協助偵測影子資料或孤兒資料資產嗎?
可以,DSPM (資料資安態勢管理) 可發掘、偵測及管理各種雲端環境的影子資料 (shadow data) 與孤兒資料 (orphaned data) 資產。
在缺乏 DSPM 的情況下,哪些類型的資料最危險?
在缺乏資料資安態勢管理 (DSPM) 策略的情況下,雲端、多重雲端及混合雲環境將面臨敏感資料遭竊或外洩的風險。
DSPM 對多重雲端或混合雲環境是否有效?
是的,DSPM (資料資安態勢管理) 是保護所有雲端環境資料一種非常有效的方法,當然也包括多重雲端和混合雲。
DSPM 在內賊威脅偵測當中扮演什麼角色?
DSPM (資料資安態勢管理) 可讓企業追蹤自己的資料所在位置,並控管哪些人可以存取,進而協助偵測內賊威脅。