DSPM 的核心功能包括:
数据发现和分类
数据发现和分类是 DSPM 的基础功能,支持组织跨云、混合和本地环境了解其敏感数据。 发现过程使用自动扫描和集成在 SaaS、PaaS、IaaS 和数据湖等平台中查找结构化和非结构化数据资产。这包括识别可能导致安全风险的“影子数据”或被遗忘的云资产。
发现数据后,DSPM 工具会根据其敏感度、类型(个人身份信息、健康记录、财务数据等)及合规要求对数据进行分类。此分类可帮助安全团队了解数据的性质、确定保护工作的优先级以及应用相应的策略。准确分类还支持风险评估、检测和修正等下游过程。
访问和风险分析
DSPM 侧重于了解谁有权访问敏感数据,以及该访问权限是否合适。DSPM 工具可跨云和混合环境评估权限,以确定过度暴露的数据、错误配置和潜在漏洞。
风险分析可帮助安全团队确定风险访问模式(如权限过多或未经授权的共享),并相应地确定修正工作的优先级。
通过持续评估敏感数据的暴露级别,DSPM 助力组织强制实施最低特权访问策略并减少攻击面。它还通过确保访问控制符合
法规合规性要求和内部治理标准来支持合规性。
持续检测和警报
DSPM 可确保持续观察敏感数据,以了解访问、使用情况和暴露方面的变化。此功能提供实时跟踪,可帮助安全团队在异常、策略冲突和新兴威胁出现时检测到它们。DSPM 工具通常与现有安全系统(如安全信息和事件管理 (SIEM) 和数据丢失防护 (DLP))集成,以扩充检测功能并提供上下文警报。
通过保持对数据访问和共享方式的持续可见性,DSPM 可帮助组织快速应对潜在风险。DSPM 生成的警报可以触发自动或手动修正操作,例如撤消访问权限、应用加密和上报事件以进行调查。此主动方法增强了组织防止违规和遵守
数据保护标准的能力。
风险检测
DSPM 工具可以识别和响应针对敏感数据的潜在安全风险。它们持续分析数据访问模式、用户行为和环境配置,以检测可能指示存在恶意活动或策略冲突的异常情况。这包括识别未经授权的访问、数据外泄尝试以及由于配置错误或权限过多而公开敏感资产。
高级 DSPM 解决方案通常与更广泛的安全生态系统(例如 SIEM、DLP 以及
威胁检测和响应 [TDR] 平台)集成,以扩充
威胁智能并提供上下文警报。这些警报可帮助安全团队快速调查事件,然后采取纠正措施,例如撤消访问权限、应用加密或升级以开展取证分析。
事件响应
DSPM 工具识别异常后,将会立即触发警报并提供可操作的见解来指导修正。这些见解可能包括策略建议、数据风险评估和已确定优先级的威胁指示器。
DSPM 平台还可以与 AI 支持的
事件响应工具集成,以支持引导式调查。借助此方法,安全团队可以跨数据、用户和活动进行深入分析,以帮助他们了解事件的范围和影响。简化响应过程并提供上下文智能可提升 DSPM 在助力组织能快速遏制威胁和在最大程度上减少损害方面的价值。
漏洞管理
DSPM 专注于跨云和混合环境识别和解决存储、访问和保护敏感数据方面的薄弱环节。DSPM 工具持续扫描可能向未经授权的用户或恶意行动者公开数据的错误配置、权限过多,以及过时或存在风险的访问控制。有风险的访问控制。这些工具根据风险级别和数据敏感度确定漏洞的优先级和
管理漏洞,有助于帮助安全团队首先关注最严重的问题。
DSPM 还增强了对潜在威胁的可见性,并提供可操作的修正见解。这包括建议更改策略、撤消不必要的访问权限或对高风险数据应用加密。DSPM 增强了组织主动减少其攻击面并保持可复原数据安全状况的能力。
关注 Microsoft 安全