Schattendaten und DSPM

Schattendaten sind sensible Informationen, die in Cloud-Umgebungen außerhalb des Zuständigkeitsbereichs zentraler IT- oder Sicherheitskontrollen gespeichert sind 

Sie entstehen oft durch:

• Nicht erfasste Daten in Entwicklungs-, Staging- oder Testumgebungen
• Backups oder Kopien, die für Analysen oder maschinelles Lernen erstellt wurden
• Daten, die von stillgelegten Anwendungen oder Projekten zurückgelassen wurden
• Fehlkonfigurierte SaaS-Integrationen oder Services von Drittanbietern

Schattendaten können regulierte Datensätze umfassen, wie zum Beispiel personenbezogene Daten (PII), personenbezogene Gesundheitsdaten (PHI) oder Finanzdaten. Diese Daten verfügen in der Regel nicht über angemessene Zugriffskontrollen, Verschlüsselung oder Überwachung, was sie zu einem attraktiven Ziel für Angreifer und zu einer Belastung bei Audits macht.

Schattendaten können sich schnell ansammeln, insbesondere in Unternehmen mit dezentraler Entwicklung, schneller Skalierung oder mehreren Cloud-Service Providern. 

Da diese Datenbestände oft undokumentiert sind, wissen Sicherheitsteams möglicherweise nicht einmal, dass sie existieren, geschweige denn von der Konfiguration oder wer darauf zugreifen kann. Unüberwachte Schattendaten stellen eine unsichtbare Bedrohungsquelle dar.

Moderne Cloud-Umgebungen sind dynamisch und dezentralisiert. Teams stellen Infrastruktur nach Bedarf bereit, integrieren Tools über APIs und arbeiten schnell, um eine agile Entwicklung zu unterstützen. In diesem Umfeld lassen sich Daten leicht duplizieren, aber schwer nachverfolgen.

Sicherheitsteams haben Mühe, Schritt zu halten, denn:

Schattendaten umgehen herkömmliche Data Loss Prevention (DLP) und unterstützen funktionsübergreifende Incident Response und Compliance-Bereitschaft, wodurch Teams einen einheitlichen Einblick in versteckte Datenrisiken erhalten.

Das Kernprinzip eines effektiven Exposure Management-Programms besteht darin, proaktiv alle Formen von Cyberrisiken auf der gesamten Angriffsfläche zu identifizieren, zu bewerten und zu reduzieren. 

Schattendaten stellen einen bedeutenden blinden Fleck in dieser Oberfläche dar, und DSPM setzt direkt an diesem Punkt an.

DSPM bietet die nötige Transparenz, um zu verstehen, wo sich Daten befinden und wie Identitäten, Konfigurationen und Netzwerkpfade zusammenwirken, um ausnutzbare Angriffspfade zu schaffen. 

Anstatt nur zu wissen, dass Sie über nicht verwaltete Daten verfügen, erhalten Sie ein Verständnis dafür, welche schwerwiegenden Folgen ein Datenleck haben könnte.

Die Integration von DSPM in Ihre Exposure Management-Plattform ermöglicht Ihnen eine ganzheitliche Risikobetrachtung. Sie erkennen, wie sich Schattendaten, ohne dass Sie es bemerken, mit überprivilegierten Konten oder falsch konfigurierten Cloud-Services verbinden. Es ermöglicht Ihnen, die Behebung basierend auf der Wahrscheinlichkeit und den Auswirkungen eines Angriffs zu priorisieren.

Durch kontinuierliches Monitoring auf neue Schattendaten verhindern Sie, dass diese Ihre Angriffsfläche vergrößern. Sie reduzieren Ihre Exposure, bevor Angreifer Ihre verborgenen Assets ausnutzen können.

Data Security Posture Management geht das Problem von Schattendaten direkt an, indem es eine kontinuierliche Erfassung, Klassifizierung und Risikoanalyse bietet.

So funktioniert's:

1. Unbekannte Daten entdecken und inventarisieren

DSPM-Plattformen durchsuchen Cloud-Speicher, Datenbanken, SaaS-Plattformen und Schatteninfrastrukturen, um nicht verwaltete oder vergessene Datenbestände zu finden, darunter

• S3-Buckets, Blob-Speicher und nicht verwaltete Data Lakes
• Ungenutzte Datenbankinstanzen oder Testumgebungen
• Cloud-native Protokolle, Berichte und Exporte mit sensiblen Daten

2. Daten nach Risiko und Compliance klassifizieren

DSPM-Tools wenden Klassifizierungsmodelle an, um sensible Informationen gemäß Compliance-Frameworks oder benutzerdefinierten Datentypen wie Quellcode oder geistigem Eigentum zu kennzeichnen.

3. Exposure und toxische Kombinationen analysieren

DSPM analysiert, wer oder was auf Daten zugreifen kann und ob Fehlkonfigurationen der Infrastruktur (z. B. öffentliche Buckets, schwache IAM-Rollen) das Risiko erhöhen.

4. Priorisieren, was zuerst behoben werden muss

Risikobewertungen untersuchen den Exposure-Schweregrad, die Datensensibilität, Ausnutzbarkeit und den Geschäftskontext. Sie helfen Ihnen dabei, sich auf das zu konzentrieren, was Risiken mindert, und nicht nur auf das, was viel Aufsehen erregt.

Mithilfe von Risikobewertungen und Exposure-Diagrammen unterstützt DSPM Sicherheitsteams dabei, den Fokus auf Probleme mit hohen Auswirkungen zu legen. Dazu gehören beispielsweise Schattendaten, die dem Internet ausgesetzt sind, übermäßig privilegierte Dienstkonten oder unverschlüsselte Backups mit sensiblen Daten. 

5. Sicherheitslücken beheben und Richtlinien durchsetzen

Führende DSPM-Lösungen geben Anleitungen zur Behebung und lassen sich in Plattformen für Infrastructure as Code (IaC), Cloud Infrastructure and Entitlements Management (CIEM) und Cloud Security Posture Management (CSPM) integrieren:

• Nicht verwaltete Daten verschlüsseln oder löschen
• Unnötigen Zugriff widerrufen
• Konsistente Kontrollen in allen Clouds anwenden

DSPM verhindert auch, dass Schattendaten überhaupt erst entstehen. 

Durch die Integration in Cloud-Bereitstellungsworkflows und „Policy-as-Code“-Tools werden Sicherheitsrichtlinien automatisch durchgesetzt, sodass neue Dienste vom ersten Tag an sichere Standardwerte und Least-Privilege-Zugriffsrechte übernehmen.

• Erkennung von Schattendaten: Sie erhalten ein vollständiges, stets aktualisiertes Inventar sensibler Daten, selbst wenn Teams diese außerhalb formaler Prozesse erstellen.
• Verhinderung von Cloud-Sicherheitsverletzungen: Identifizieren Sie toxische Kombinationen, bevor Angreifer es tun, und unterbrechen Sie Angriffspfade zu vergessenen Datenbeständen.
• Compliance-Bereitschaft: Erfüllen Sie Audit-Anforderungen an Daten-Governance und Zugriffskontrolle in Multi-Cloud-Umgebungen.

Incident-Response: Verkürzen Sie die Verweildauer, indem Sie gewährleisten, dass Responder wissen, wo sich sensible Daten befinden und welchen Sicherheitsrisiken sie ausgesetzt sind.

Tenable Cloud Security beinhaltet DSPM-Funktionen, die kontinuierlich cloudbasierte sensible Daten erkennen und klassifizieren. 

Die Lösung ermöglicht:

• Automatisierte Erkennung von Schattendaten in AWS, Azure, GCP und SaaS-Umgebungen
• Exposure-Analysen, die Zugriffspfade, Rollen und Fehlkonfigurationen abbilden
• Geführte Behebung durch Integrationen mit CIEM-, CSPM- und IaC-Workflows

Tenable kann Ihrem Unternehmen dabei helfen, Risiken durch unkontrollierte Daten zu minimieren, das Least Privilege-Prinzip zu unterstützen und schneller auf potenzielle Exposure zu reagieren.

Erfahren Sie, wie Tenable Ihnen helfen kann, Risiken durch Schattendaten zu erkennen und zu beseitigen.