Datenbanksicherheit für das Zeitalter von KI und Cloud überdenken

Wenn ein schwerwiegender Verstoß in den Nachrichten gemeldet wird, sei es ein Hypotheken-Dienstleister, der Millionen von Datensätzen offenlegt oder eine globale Bank, die mit einem Ransomware-Angriff konfrontiert ist, blinkt mein Telefon.

Am Beginn meiner beruflichen Laufbahn war ich Sales Engineers bei Imperva und in den nächsten zwei Jahrzehnten arbeitete ich mich bis zum CTO hoch. Während dieser Zeit war ich an Tausenden von Datenbanksicherheitsprojekten beteiligt. Ich unterstützte Kunden in den Bereichen Finanzdienstleistungen, Gesundheitswesen und anderen regulierten Branchen dabei, ihre wichtigsten Daten zu schützen.

Wenn ich also diese Anrufe erhalte, möchten Kollegen und Kunden aus allen Branchen wissen: „Wie können wir sicherstellen, dass uns das nicht passiert?“

Der erste Schritt ist immer der gleiche. Sie müssen folgende Fragen beantworten können:

1. Welche Daten sind sensibel?
2. Wer kann darauf zugreifen?
3. Wer hatte Zugriff und was haben sie getan?

Wenn Sie diese Fragen nicht mit Sicherheit beantworten können, fehlt Ihnen die Grundlage der Datensicherheit. In den letzten 10 Jahren ist es viel schwieriger geworden, diese Grundlage zu schaffen, da Unternehmen von On-Premise-Datenbankumgebungen mit nur einem Anbieter zu komplexen Technologie-Stacks übergegangen sind, die aus Multi-Cloud-, Hybrid- und Managed Services bestehen.

KI erhöht das Risiko von Exposure, da sie exponentiell mehr Zugriffspfade schafft und Angreifern (und Insidern) die Tools zur Automatisierung von Aufklärung und Social Engineering an die Hand gibt. Exposures werden kostspieliger durch Vorschriften, mit strengeren Offenlegungspflichten und höheren Strafen und Rechenschaftspflicht für schwache Kontrollen.

Die Playbooks, denen wir entwachsen sind

Unternehmen haben jahrelang eine der folgenden drei Optionen zum Schutz ihrer Datenbanken gewählt:

1. Eine veraltete, agentenbasierte DAM-Lösung zur Überwachung von Abfragen, Erkennung von Anomalien und Nachverfolgung berechtigter Nutzer.
2. Native Logs (manchmal mit einem SIEM verbunden) zur Integration von Audit Trails, Korrelation von Alerts und Durchsetzung von Aufbewahrungsrichtlinien.
3. Ad hoc-Kontrollen, die auf dem Verwalten von Zugriffskontrollen durch DBAs beruhen, der manuellen Durchführung von Sicherheitsbewertungen und dem Zugang zu Überprüfungen (meistens nur dann, wenn ein Prüfer danach fragt).

Keiner dieser Ansätze funktioniert für moderne Datenbankumgebungen und Bedrohungslandschaften.

Veraltetes, agentenbasiertes DAM funktioniert nicht mit der Cloud und verwalteten Datenbanken und setzt Agenten auf jedem On-premise DB-Server voraus, was zu langen Bereitstellungszyklen führt und ständige Upgrades und Störungsbeseitigungen erfordert.

Native Logs (auch mit einem SIEM) sind bei verschiedenen Anbietern verzögert und uneinheitlich. Diese Verzögerungen und uneinheitlichen Log-Qualitäten verhindern jede Fähigkeit zur Angriffsprävention in Echtzeit. Darüber hinaus können native Logs Leistungseinbußen vieler Datenbanken verursachen, vor allem On-premise. Native Logs können nur für weniger kritischen Datenbanken akzeptabel funktionieren, wo die Zielsetzung eher die Berichterstattung zur regulatorischen Compliance als beste Sicherheitspraktiken ist.

Drei Säulen der modernen Datenbanksicherheit

Die Sicherung von Daten in der Umgebung von heute erfordert ein Umdenken. Es geht nicht um mehr Tools oder mehr Logs. Es geht um Klarheit und Kontrolle.

1) Zu wissen, welche Daten sensibel sind

Man kann etwas nicht schützen, von dem man nicht weiß, dass es vorhanden ist. Der erste Schritt besteht in der Ermittlung und Klassifizierung sensibler Daten in Ihrem gesamten Bestand. Das kann kein Quartalsprojekt sein. Es muss ein kontinuierlicher und vorzugsweise automatisierter Prozess sein, der zur Grundlage für alles andere wird: Zugriffsüberprüfungen, Richtliniendurchsetzung, Analysen und Reaktion auf Vorfälle.

Dies sind einige praktische Schritte, um zu wissen, was Ihre sensitiven Daten sind:

• Behandeln Sie die Klassifizierung als Teil des Datenlebenszyklus, nicht als Audit-Übung.
• Klassifizieren Sie sowohl Ihre strukturierten als auch Ihre unstrukturierten Daten.
• Verfolgen Sie Datenflüsse nach, um zu verstehen und zu kontrollieren, wie sensitive Daten sich von transaktionalen Systemen aus in Dateien, Kollaborationsbereiche und Analyseplattformen bewegen.
• Stellen Sie sicher, dass die Klassifizierungsergebnisse umsetzbar sind und Berechtigungsüberprüfungen, Überwachung und Sanierung verstärken. Klassifizierung ohne Aktion ist Dokumentation, keine Verteidigung.

2) Minimieren Sie den Explosionsradius

Um den möglichen Schaden zu minimieren, müssen Berechtigungen den geschäftlichen Anforderungen entsprechen, den richtigen Umfang haben, an die Zeit gebunden sein und die Identität berücksichtigen. Die meisten Unternehmen lassen den Zugriff von Nutzern und Anwendungen auf wesentlich mehr Daten zu, als diese benötigen. Menschen sammeln Konten und Berechtigungen und viele Teams verwenden immer noch gemeinsame Zugangsdaten. Solange Sie nicht jede Anmeldeinformation mit einer Unternehmensidentität verknüpfen können, unterschätzen Sie weiterhin die Risiken und reagieren übermäßig auf das Rauschen.

Praktische Schritte zur Minimierung des potenziellen Schadens sind unter anderem:

• Jeden Satz von Zugangsdaten in eine und lediglich eine Unternehmensidentität zu zerlegen.
• Die Nutzung von Berechtigungen zur Verstärkung des Least-Privilege-Prinzip nachverfolgen und nicht genutzten Zugriff regelmäßig widerrufen, besonders den auf sensible Datensätze.
• Zeitgebundene Berechtigungen mit hohem Risiko und Einführung von an den Bedarf angepasste Erweiterung für seltene Aufgaben.
• Genehmigungen zur gemeinsamen Kontonutzung bewusst erteilen. Alles entfernen, was Sie können und den restlichen kompensierende Kontrollen und eine zuverlässige Zuordnung hinzufügen, damit Sie immer noch sehen können, wer was tut (IP-Adressen, MAC-Adressen usw. nachverfolgen).

3) Kontextbezogene Überwachung und automatisierte Reaktion

Aktivität ohne Kontext ist Lärm. Effektives Monitoring korreliert, wer (die Identität), was (die Sensibilität und der Standort der Daten) und wie (das Verhalten) nahezu in Echtzeit. Der Überwachungsansatz muss für On-Premise und Cloud, einschließlich verwalteter Datenbanken, einheitlich sein.

Praktische Schritte zur Überwachung mit Kontext:

• Implementieren Sie eine Sicherheitslösung, die hochgradig zuverlässige Telemetriedaten mit geringer Reibung liefert, die in Ihren gesamten Datenumgebungen einheitlich sind.
• Implementieren Sie datenzentriertes UEBA, das ungewöhnliches Verhalten durch moderne Automatisierungen, ML, KI und Services für Erkennung und Reaktion anstelle veralteter statischer Richtlinien erkennt.
• Implementieren Sie Tools und Prozesse für Einschätzung und Eskalation, um echte Risiken vom Rauschen zu trennen.
• Automatisieren Sie die Risikosanierung mit dynamischer Daten-Maskierung, Richtliniendurchsetzung und Just-in-Time-Zugriff.

Architektur ist wichtig

Sicherheitsprogramme stagnieren, wenn Teams ihre Energie darauf verwenden, die Tools zu verwalten, anstatt das Risiko zu verringern. Ältere, agentenbasierte DAM-Lösungen erfordern eine Vielzahl von Agenten, Gateways/Sammlern, Managern und Analysekomponenten, jeweils mit HA-Paaren und komplexen Aktualisierungszyklen. Wenn Sie das auf Hunderte oder Tausende von Datenbanken skalieren, wird die Komplexität zum Programm.

Sie benötigen einen modernen Ansatz, der das Verhältnis umkehrt:

• SaaS-Lösung, damit Sie nicht länger von Upgrades und Analysen belastet sind.
• Private, leichtgewichtige Sammlung in Ihrer Umgebung zur Zuordnung der sensitiven Daten und Erstellung des Berechtigungsbilds zu, ohne Rohdaten zu bewegen.
• Agentenloses, zustandsloses Abfangen zur Aktivitätsüberwachung – so erhalten Sie einheitliche, angereicherte Telemetriedaten für On-premise- und verwaltete Datenbanken, ohne Kontakt mit den Datenbank-Hosts.
• Erkennung und Reaktion für Managed Data, so können Daten Alerts priorisieren und eskalieren, was von Bedeutung ist und nicht jedes SOC muss ein Spezialist für Datenbanksicherheit sein.

Es geht nicht um die Features eines Anbieters. Es geht darum, Ihr Betriebsmodell darauf auszurichten, wie Ihre Daten und Infrastruktur heute tatsächlich funktionieren. Wenn die Sicherheitsarchitektur einfacher ist, kann sich das Programm endlich auf Ergebnisse konzentrieren.

Die Zukunft der Datenbanksicherheit

Bei Varonis haben wir Jahre damit verbracht, die Datensicherheit mit einheitlicher Klassifizierung, Identitätskontext, Analysen, Aktivitätsüberwachung, Bedrohungserkennung und automatischer Sanierung zu perfektionieren, um Unternehmen insofern zu unterstützen, dass sie wissen, welche Daten sensibel sind, wer Zugriff darauf hat, was damit geschieht und um kontinuierlich und automatisch den möglichen Schaden zu minimieren und auf Bedrohungen zu reagieren.

Wir starteten mit unstrukturierten Daten und bringen jetzt die gleiche Klarheit und Kontrolle mit Varonis Next Generation DAM in Datenbanken. Die Lösung hat keine Agenten, ist Cloud-fähig und bietet hochgradig zuverlässige Telemetrie ohne den operativen Aufwand.

Unsere komplette Datensicherheitsplattform vereinfacht die Architektur, vereinheitlicht die Sichtbarkeit und automatisiert die Reaktion in On-premise-, Cloud- und Managed-Service-Umgebungen.

Wenn Sie daran interessiert sind, wie Varonis in Ihrer Umgebung arbeiten könnte, helfen wir Ihnen gerne dabei, Ihre aktuelle Lage einem Belastungstest mit einem kostenlosen Data Risk Assessment zu unterziehen.

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.