Direkt zum Hauptinhalt

Sicherheits- und Vertrauenscenter

Ihre Datensicherheit ist unsere Priorität

 

 

Vertrauen

Unsere vertrauenswürdige Plattform entsteht durch Integration von Sicherheitsmerkmalen im gesamten Lebenszyklus von Softwareentwicklung und -bereitstellung. Wir beachten strikte betriebliche Sicherheitspraktiken wie Penetrationstests, Schwachstellenbewertungen und strenge interne Zugangskontrollen. Wir sind davon überzeugt, dass Transparenz der Schlüssel zum Vertrauen ist. Daher sprechen wir offen darüber, wie wir arbeiten, und stimmen uns in Fragen der Sicherheit eng mit unseren Kunden und Partnern ab. Wir haben Angebote für PCI-DSS-, HIPAA- und FedRAMP-Compliance und sind konform mit ISO 27001, ISO 27017, ISO 27018 und SOC 2 Typ II.

Vertragliche Verpflichtung

Neben der Dokumentation und Best Practices, die Sie in unserem Security and Trust Center finden, verpflichten wir uns auch vertraglich zur Sicherheit für alle unsere Kunden. Diese Verpflichtung ist im Sicherheitszusatz unserer Kundenvereinbarung festgehalten. Er beschreibt mit einfachen Worten die Sicherheitsmaßnahmen und -praktiken, die wir befolgen, um Ihre Daten zu schützen.

Schwachstellenmanagement

Das Aufspüren und schnelle Beheben von Schwachstellen in der Software gehört zu den wichtigsten Aufgaben jedes Softwareanbieters und Dienstleisters. Wir nehmen diese Verantwortung ernst und teilen unsere Behebungsfristen in unserem Sicherheitszusatz mit.

Intern verfügen wir über ein automatisiertes Schwachstellenmanagement, um Schwachstellen in unserer Umgebung effektiv zu verfolgen, zu priorisieren, zu koordinieren und zu beheben. Wir führen täglich authentifizierte Schwachstellenscans von Databricks und Drittanbieter-/Open-Source-Paketen durch, die von Databricks verwendet werden. Außerdem führen wir statische und dynamische Codeanalysen (SAST und DAST) mit vertrauenswürdigen Sicherheits-Scan-Tools durch, bevor wir neuen Code oder Images in die Produktion überführen. Databricks beschäftigt auch externe Experten, um unsere öffentlich zugänglichen Websites zu analysieren und potenzielle Risiken zu melden.

Databricks hat ein Programm zur Reaktion auf Schwachstellen finanziert, um aufkommende Schwachstellen zu überwachen, bevor sie uns von unseren Scanning-Anbietern gemeldet werden. Wir erreichen dies mithilfe interner Tools, sozialer Medien, Mailinglisten und Quellen für Bedrohungsinformationen (z. B. US-CERT und andere Behörden-, Branchen- und Open-Source-Feeds). Databricks überwacht offene Schwachstellenplattformen wie CVE Trends und Open CVDB. Wir haben einen etablierten Prozess, um darauf zu reagieren, damit wir die Auswirkungen auf unser Unternehmen, unser Produkt oder unsere Kunden schnell erkennen können. Mit diesem Programm können wir gemeldete Schwachstellen schnell reproduzieren und Zero-Day-Schwachstellen beheben.

Unser Schwachstellenmanagement-Programm ist darauf ausgerichtet, Schwachstellen des Schweregrads 0, z. B. Zero Days, mit höchster Dringlichkeit zu behandeln und deren Behebung Vorrang vor anderen Rollouts zu geben.

Penetrationstests und Bug Bounty

Die von uns durchgeführten Penetrationstests setzen auf eine Kombination aus internem offensivem Sicherheitsteam, qualifizierten externen Penetrationstestern und einem ganzjährigen öffentlichen Bug-Bounty-Programm. Wir verwenden eine Mischung aus Fuzzing, sicherer Codeüberprüfung und dynamischen Anwendungstests, um die Integrität unserer Plattform und die Sicherheit unserer Anwendung zu bewerten. Wir führen Penetrationstests von Hauptversionen, neuen Diensten und sicherheitsrelevanten Funktionen durch. Das offensive Sicherheitsteam arbeitet mit unserem Vorfallreaktionsteam und Sicherheitsexperten im Engineering zusammen, um erkannte Probleme aufzuklären und Erkenntnisse im gesamten Unternehmen zu verbreiten.

Wir führen in der Regel 8–10 externe Penetrationstests von Drittanbietern und 15–20 interne Penetrationstests pro Jahr durch. Bevor ein Test als bestanden gewertet werden kann, müssen alle wesentlichen Feststellungen angegangen werden. Als Teil unseres Transparenzansatzes teilen wir unseren plattformweiten Testbericht von Drittanbietern öffentlich in unserem Due-Diligence-Paket.

Sicherheitsuntersuchungen und Reaktionen auf Vorfälle

Wir verwenden Databricks als unsere SIEM- und XDR-Plattform, um über 9 Terabyte an Daten pro Tag für Erkennungs- und Sicherheitsuntersuchungen zu verarbeiten. Wir erfassen und verarbeiten Protokolle und Sicherheitssignale von Cloud-Infrastrukturen, Geräten, Identitätsverwaltungssystemen und SaaS-Anwendungen. Wir verwenden strukturierte Streaming-Pipelines und Delta-Live-Tables, um die relevantesten Sicherheitsereignisse mithilfe eines datengesteuerten Ansatzes und statistischer ML-Modelle zu identifizieren. Diese Ereignisse dienen dann dazu, neuartige Warnungen zu generieren oder bestehende Warnungen von bekannten Sicherheitsprodukten zu korrelieren, zu deduplizieren und zu priorisieren. Wir modellieren unsere Runbooks auf der Grundlage von Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTP) des Gegners, die mit Hilfe des Frameworks MITRE ATT&CK verfolgt werden. Unser Team für Sicherheitsuntersuchungen verwendet kollaborative Databricks-Notebooks, um wiederholbare Untersuchungsprozesse zu erstellen, Playbooks zur Untersuchung von Vorfällen kontinuierlich weiterzuentwickeln und eine Bedrohungssuche anhand von mehr als 2 Petabyte historischer Ereignisprotokolle durchzuführen, wobei komplexe Suchen in unstrukturierten und halbstrukturierten Daten durchgeführt werden.

Unser Vorfallreaktionsteam bleibt auf dem Laufenden und unterstützt Databricks bei der Vorbereitung auf Vorfallmanagementszenarien durch:

  • Teilnahme an branchenweit anerkannten Kursen von Anbietern wie SANS und Teilnahme an Sicherheitskonferenzen wie fwd:cloudsec, Black Hat, BSides, RSA
  • Durchführung regelmäßiger Tabletop-Übungen mit Führungskräften und internen Teams, um Sicherheitsreaktionsszenarien zu üben, die für Databricks-Produkte und die Unternehmensinfrastruktur relevant sind
  • Zusammenarbeit mit Engineering-Teams zur Priorisierung der Plattformbeobachtbarkeit, um eine effektive Sicherheitserkennung und -reaktion zu ermöglichen
  • Regelmäßige Aktualisierung von Einstellungs- und Schulungsstrategien auf der Grundlage einer sich entwickelnden Kompetenz- und Fähigkeitsmatrix für Vorfallreaktionen

Interner Zugriff

Wir wenden strikte Richtlinien und Kontrollen für den Zugriff interner Mitarbeiter auf unsere Produktionssysteme, Kundenumgebungen und Kundendaten an.

Sicherer Lebenszyklus bei der Softwareentwicklung

Databricks definiert einen Software-Entwicklungszyklus (Software Development Lifecycle, SDLC), der Sicherheit in alle Entwurfs-, Entwicklungs- und Produktionsschritte vom Pflichtenheft bis zur Produktionsüberwachung einbezieht. Zur Unterstützung setzen wir Tools ein, die ein Produktmerkmal über den gesamten Lebenszyklus im Blick behalten. Wir verfügen über automatische Sicherheitsscans und eine automatisierte Schwachstellenverfolgung von Systemen, Bibliotheken und Code.

Sicherheitsrichtlinie und Kommunikationsdetails

Databricks befolgt die Standards RFC 9116, ISO/IEC 30111:2019(E) und ISO/IEC 29147:2018(E) für die Behandlung und Kommunikation von Sicherheitsschwachstellen. Einzelheiten zu unserer sicheren Kommunikation und PGP-Signatur finden Sie in unserer Datei security.txt.