影子数据和 DSPM

影子数据是什么？简单来说，影子数据是存储在云环境中的敏感信息，不属于集中 IT 或安全控制的范围，通常需要通过 DSPM 进行治理。

出现影子数据的原因通常是：

• 开发、暂存或测试环境中未跟踪的数据
• 为分析或机器学习创建的备份或副本
• 已停用的应用程序或项目的残留数据
• 配置错误的 SaaS 集成或第三方服务

影子数据可能包括受监管的记录，如个人身份信息 (PII)、个人健康信息 (PHI) 或财务数据。这些数据通常缺乏适当的访问控制、加密或监控，因此成为攻击者的诱人目标，并在审计过程中构成责任风险。

影子数据会迅速积累，尤其是在采用分散式开发、快速扩展或拥有多家云服务提供商的组织中。

由于这些数据资产往往没有文档记录，安全团队甚至可能不知道它们的存在，更不用说配置或谁可以访问它们了。如果不加以监控，影子数据就是一个隐形的威胁面。

现代云环境是动态和分散的。团队按需配置基础设施，通过 API 集成工具，并快速移动以支持敏捷开发。在这种环境下，数据很容易复制，但很难跟踪。

安全团队疲于应对，因为：

影子数据绕过了传统的数据丢失防护（DLP）机制，并支持跨职能的事件响应与合规准备工作，使团队能够共享可见性，洞察隐藏的数据风险。

有效暴露风险管理计划的核心原则是主动识别、评估和降低整个攻击面的各种形式的网络安全风险。

影子数据是这一表面的一个重要盲点，DSPM 直接解决了这一问题。

DSPM 提供精细的可见性，以了解数据驻留的位置，以及身份、配置和网络路径是如何结合起来，形成可利用的攻击路径。

您不仅知道自己有未经管理的数据，还要了解这些数据一旦外泄可能产生的严重影响。

将 DSPM 与更广泛的暴露风险安全管理平台相集成，可为您提供全面的风险视图。您会了解到影子数据是如何在您不知情的情况下，连接到特权过高的帐户或配置错误的云服务。 它可以让您根据攻击者的可能性和影响来确定修复的优先级。

当您持续监控新的影子数据时，就能防止它扩大您的攻击者面。在攻击者可利用您的隐藏性资产之前，您就能缩小暴露风险。

数据安全态势管理通过提供持续发现、分类和暴露风险分析功能，直接应对影子数据带来的挑战。

具体方式如下：

1. 发现并清点未知数据

DSPM 平台扫描云存储、数据库、SaaS 平台和影子基础设施，以发现未管理或被遗忘的数据资产，包括

• S3 桶、blob 存储和非托管大数据池
• 未使用的数据库实例或测试环境
• 云原生日志、报告和包含敏感记录的导出文件

2. 针对风险和合规性对数据进行分类

DSPM 工具应用分类模型，根据合规框架或源代码或 IP 等自定义数据类型标记敏感信息。

3. 分析暴露风险和毒性组合

DSPM 分析谁或什么可以访问数据，以及基础架构配置错误（如公共桶、弱 IAM 角色）是否会增加风险。

4. 优先解决哪些问题

风险评分会综合评估暴露严重程度、数据敏感性、可利用性以及业务背景。 这些评分可帮助您专注于降低风险的因素，而不仅仅是无用信息。

DSPM 通过风险评分和 Exposure Graph 帮助安全团队专注处理高影响问题。这可能包括暴露在互联网上的影子数据、权限过高的服务帐户或包含敏感数据的未加密备份。

5. 修复和执行政策

领先的 DSPM 解决方案指导修复措施，并与基础设施即代码 (IaC)，云基础设施和权限管理 (CIEM) 以及云安全态势管理 (CSPM)平台集成，可以：

• 加密或删除未管理数据
• 撤销不必要的访问权限
• 在云中采用一致的控制措施

此外，DSPM 从一开始就能防止影子数据的出现。

与云配置工作流和策略即代码工具集成后，可自动执行防护机制，因此新服务从第一天起，就能继承安全默认设置和最小特权访问原则。

• 影子数据发现：即使团队在正式流程之外创建敏感数据，也能获得完整的、始终更新的敏感数据清单。
• 云漏洞防范：抢在攻击者之前识别有害组合，切断通往被遗忘数据资产的攻击路径。
• 合规性准备：满足审计员对跨多云环境的数据治理和访问权限控制的期望。

事件响应: 确保响应人员了解敏感数据的位置及其暴露风险，从而缩短停留时间。

Tenable Cloud Security 提供了 DSPM 功能，可持续发现和分类基于云的敏感数据。

该功能可以：

• 自动检测 AWS、Azure、GCP 和 SaaS 环境中的影子数据
• 实施映射访问路径、角色和配置错误的暴露风险分析
• 通过与 CIEM、CSPM 和 IaC 工作流的集成指导修复工作

Tenable 可以帮助贵企业降低未管理数据带来的风险，支持最小特权原则，并更快地应对潜在的暴露风险。

了解 Tenable 如何帮助您 查找和修复影子数据带来的风险。