Mejores prácticas de protección de datos

El robo de datos corporativos va en aumento a medida que los atacantes buscan monetizar el acceso mediante la extorsión y otros medios. En 2022, el 40% de las intrusiones en las que trabajaron los expertos de Mandiant resultaron en pérdida de datos, un aumento del 11% respecto al año anterior. Este mismo año, una importante vulnerabilidad en un software de transferencia de archivos ha provocado una pérdida de datos a gran escala para organizaciones de todo el mundo (lea nuestra investigación sobre la vulnerabilidad de día cero de MOVEit).

Para proteger eficazmente los datos corporativos confidenciales, las organizaciones deben establecer programas de protección de datos que consistan en financiación dedicada, herramientas de seguridad y equipos definidos. Un programa integral de protección de datos puede limitar el impacto de un ataque y reducir la probabilidad de filtración de datos en caso de un ataque exitoso.

La Tabla 1 muestra ejemplos de tipos comunes de eventos de pérdida de datos que enfrentan las organizaciones y posibles controles defensivos que se pueden implementar para protegerse.

Tipos de pérdida de datos

Controles defensivos

Depósito de almacenamiento en la nube expuesto públicamente

Exfiltración de datos de la red corporativa.

Acceso del atacante a un buzón de correo basado en la nube/sincronización de la bandeja de entrada

Pérdida o robo de un dispositivo corporativo

Robo de datos de información privilegiada de confianza

La Tabla 2 incluye una lista no exhaustiva y de alto nivel de ejemplos de alertas de protección de datos y casos de uso de detección correspondientes que las organizaciones suelen implementar para identificar actividades anómalas de robo de datos en diferentes plataformas.

Actividad

Ejemplos de casos de uso de detección

Descargas masivas en Azure

Gran tráfico saliente

Cargas de GitHub

Identificación de utilidades de transferencia de archivos

Consultas sospechosas de bases de datos

Acceso a datos no autorizados de AWS

Exposición de datos de Google Workspace

Pérdida de datos de la plataforma Google Cloud

Robo de datos de M365

Esta publicación de blog describe estrategias comunes que las organizaciones pueden adoptar para protegerse contra el robo o la pérdida de datos internos confidenciales. En general, un programa de protección de datos eficaz se puede lograr en las siguientes fases:

Un programa de clasificación y protección de datos ayuda a garantizar que se apliquen las medidas de protección adecuadas a los sistemas y aplicaciones que manejan datos clave. Esto también permite a las organizaciones evaluar mejor qué sistemas serían de mayor interés para un atacante. Se deben desarrollar políticas y procedimientos clave para regular la protección de datos en toda una organización. Estos deben incluir lo siguiente:

El desarrollo del programa puede requerir que una organización:

Las organizaciones deben diseñar su programa de protección de datos utilizando un enfoque basado en riesgos y deben realizar evaluaciones de riesgos para determinar las amenazas a los datos, las vulnerabilidades potenciales, la tolerancia al riesgo y la probabilidad de ataques específicos de la organización.

Para identificar adecuadamente los datos críticos, se debe llevar a cabo un proyecto formal de descubrimiento de datos:

Una Evaluación de las Joyas de la Corona puede ayudar a las organizaciones a priorizar mejor qué datos requieren mayor atención y protección. Como mejor práctica, debería existir un proceso para realizar una evaluación de las joyas de la corona para cada nuevo conjunto de datos que ingresa al medio ambiente.

Se debe prestar atención al análisis de los flujos de datos y cómo se mueven los diferentes tipos de datos dentro de la organización, con el objetivo de comprender cómo se obtienen, procesan, utilizan, transfieren, comparten y almacenan los datos. Una vez completado esto, se puede determinar la importancia de los datos.

Las soluciones de prevención de pérdida de datos (DLP) deben integrarse en puertas de enlace y puntos finales para permitir que los equipos de seguridad monitoreen de manera eficiente el movimiento de información crítica o confidencial, tanto interna como externamente.

Se deben implementar herramientas y capacidades para detectar posibles eventos de pérdida de datos. Los mecanismos técnicos de defensa que pueden ayudar en la protección de datos incluyen:

Para una organización que aprovecha principalmente el ecosistema de Microsoft, Microsoft Purview se puede implementar como una solución DLP que combina herramientas de gestión de datos, riesgo y cumplimiento en una única solución unificada. Específico para proteger los datos de una organización, Purview se puede utilizar para automatizar el descubrimiento de datos, la catalogación de datos, la clasificación de datos y el gobierno de datos. Específicamente para la prevención de pérdida de datos, Purview ofrece "Protección adaptativa" que utiliza el aprendizaje automático para crear detección contextual y mitigación automatizada de eventos DLP.

Para una organización que aprovecha principalmente el ecosistema de Amazon AWS, se puede aprovechar Amazon Macie para automatizar el descubrimiento de datos confidenciales, el aprovisionamiento de acceso, el descubrimiento de riesgos de seguridad y la implementación de mecanismos de protección contra esos riesgos en el entorno de AWS.

Las organizaciones que aprovechan GCP pueden aprovechar Cloud DLP, que ayuda a las organizaciones a realizar inspección, clasificación y desidentificación de datos confidenciales. Cloud DLP también crea perfiles automáticamente de tablas y columnas de BigQuery en toda la organización para descubrir datos confidenciales. Las características clave incluyen:

Se pueden crear reglas DLP para controlar el contenido que puede salir de la red de una organización. Estas reglas se pueden establecer para auditar el uso de contenido confidencial, advertir a los usuarios que están a punto de compartir información fuera de la organización, evitar que se comparta información confidencial (por ejemplo, contiene PII, datos etiquetados como confidenciales, etc.) y alertar a los administradores sobre posibles violaciones de la política.

Los controles de detección de pérdida de datos están diseñados para identificar y alertar a las organizaciones sobre posibles incidentes o situaciones en las que los datos confidenciales pueden estar en riesgo de pérdida o acceso no autorizado. Los controles de detección deben implementarse en toda la red, el punto final, la nube y los activos de aplicaciones de la organización. La actividad del usuario debe monitorearse para detectar comportamientos sospechosos o anómalos, como el acceso a archivos confidenciales a los que el usuario normalmente no accede. Los registros y alertas de múltiples fuentes deben enviarse a un repositorio central (por ejemplo, SIEM) para proporcionar alertas oportunas sobre amenazas potenciales.

Consulte el Apéndice A.para ver un ejemplo de mapeo de herramientas de seguridad con elementos del programa de protección de datos.

Utilizando la experiencia de investigaciones relacionadas con el robo de datos, Mandiant creó un mapa no exhaustivo de tecnologías de protección de datos para los componentes de un programa de seguridad de la información. La tabla debe usarse para identificar posibles brechas o superposiciones en la cobertura tecnológica y personalizarse en función del entorno y los riesgos específicos de una organización.

Tipo de tecnología

Capa de tecnología

Gestión de Acceso

Copias de seguridad

Clasificación

Descubrimiento de datos

Prevención de pérdida de datos

Seguridad del correo electrónico

Cifrado

Punto final/MDM

Seguridad de la red

Monitoreo de registros de seguridad

Herramienta de alerta de confidencialidad de datos

Datos

✓

✓

✓

Gestión de dispositivos móviles

Punto final

✓

✓

✓

Gestión de la superficie de ataque

Red

✓

DNS

Red

✓

EDR para terminales

Punto final

✓

✓

Bóveda de contraseñas

Datos

✓

Herramienta de clasificación y protección de datos en la nube

Nube

✓

✓

Cortafuegos basados ​​en ACL

Red

✓

Solución de seguridad de correo electrónico

Correo electrónico

✓

Proxy web

Red

✓

Herramienta de gestión de proveedores

Red

✓

Copias de seguridad

Datos

✓

✓

SIEM

Datos

✓

UEBA

Punto final

✓

Monitoreo de integridad de archivos

Datos

✓

✓

Google Cloud Dataplex es un servicio de lago de datos totalmente administrado que se puede aprovechar para la organización, preparación y análisis de datos en el entorno de GCP. Dataplex proporciona un repositorio central de datos que proporciona herramientas para limpiar, transformar e integrar datos para su análisis. Importante para la protección de datos, Dataplex tiene herramientas para automatizar el descubrimiento de datos y administrar el acceso, rastrear el uso y hacer cumplir políticas. Dataplex se puede aprovechar para obtener las siguientes capacidades:

La API de Google Cloud Data Catalog se puede aprovechar como un servicio de catalogación y descubrimiento de datos. Esta herramienta permite a los desarrolladores administrar y descubrir metadatos sobre activos de datos. Proporciona acceso programático para crear, actualizar y eliminar entradas en el catálogo de datos. La API permite a los usuarios buscar y recuperar información de metadatos, como tablas, vistas y columnas, de diversas fuentes de datos. También admite la integración con otros servicios de Google Cloud, lo que permite flujos de trabajo de gobernanza y descubrimiento de datos fluidos.

Mandiant puede proporcionar las siguientes evaluaciones de seguridad independientes para medir la madurez de la ciberseguridad organizacional.

Además, Mandiant puede realizar revisiones rápidas de seguridad de los tres principales entornos de nube para evaluar las prácticas de seguridad de los datos.

Enlace a la fuente RSS

Determine la eficacia de su ciberdefensa

Validado por ESG

Tome la evaluación

Los expertos de Mandiant están listos para responder sus preguntas.