Программное обеспечение для предотвращения потери данных

Концепция защиты от утечки данных

Программное обеспечение для предотвращения потери данных ( DLP ) обнаруживает потенциальные утечки данных /передачи данных и предотвращает их путем мониторинга, ^[1] обнаружения и блокировки конфиденциальных данных во время использования (действия конечной точки), при перемещении ( сетевой трафик ) и в состоянии покоя ( хранение данных ). ^[2]

Термины « потеря данных » и « утечка данных » связаны и часто используются взаимозаменяемо. ^[3] Инциденты потери данных превращаются в инциденты утечки данных в случаях, когда носитель, содержащий конфиденциальную информацию, теряется и впоследствии приобретается неавторизованной стороной. Однако утечка данных возможна и без потери данных на исходной стороне. Другими терминами, связанными с предотвращением утечки данных, являются обнаружение и предотвращение утечки информации (ILDP), предотвращение утечки информации (ILP), мониторинг и фильтрация контента (CMF), защита и контроль информации (IPC) и система предотвращения вытеснения (EPS), в отличие от системы предотвращения вторжений .

Категории

Технологические средства, используемые для борьбы с инцидентами утечки данных, можно разделить на категории: стандартные меры безопасности, расширенные/интеллектуальные меры безопасности, контроль доступа и шифрование и специальные системы DLP, хотя только последняя категория в настоящее время рассматривается как DLP. ^[4] Обычные методы DLP для обнаружения вредоносной или иной нежелательной активности и механического реагирования на нее — это автоматическое обнаружение и реагирование. Большинство систем DLP полагаются на предопределенные правила для идентификации и категоризации конфиденциальной информации, что, в свою очередь, помогает системным администраторам сосредоточиться на уязвимых местах. После этого в некоторых областях могут быть установлены дополнительные меры безопасности.

Стандартные меры

Стандартные меры безопасности, такие как брандмауэры , системы обнаружения вторжений (IDS) и антивирусное программное обеспечение , являются общедоступными продуктами, которые защищают компьютеры от внешних и внутренних атак. ^[5] Использование брандмауэра, например, предотвращает доступ посторонних к внутренней сети, а система обнаружения вторжений обнаруживает попытки вторжения со стороны посторонних. Внутренние атаки можно предотвратить с помощью антивирусного сканирования, которое обнаруживает троянских коней , отправляющих конфиденциальную информацию , и с помощью тонких клиентов, которые работают в архитектуре клиент-сервер без хранения личных или конфиденциальных данных на клиентском устройстве.

Расширенные меры

Расширенные меры безопасности используют алгоритмы машинного обучения и временного обоснования для обнаружения несанкционированного доступа к данным (например, к базам данных или системам поиска информации) или несанкционированного обмена электронной почтой, ловушки для обнаружения уполномоченного персонала со злонамеренными намерениями, а также проверку на основе действий (например, распознавание динамики нажатия клавиш) и мониторинг активности пользователей для обнаружения несанкционированного доступа к данным.

Назначенные системы DLP

Назначенные системы обнаруживают и предотвращают несанкционированные попытки скопировать или отправить конфиденциальные данные, намеренно или непреднамеренно, в основном персоналом, который имеет право доступа к конфиденциальной информации. Для классификации определенной информации как конфиденциальной, они используют механизмы, такие как точное сопоставление данных, структурированное отпечатков пальцев данных , статистические методы, сопоставление правил и регулярных выражений , опубликованные лексиконы, концептуальные определения, ключевые слова и контекстную информацию, такую ​​как источник данных. ^[6]

Типы

Сеть

Сетевая технология (данные в движении) обычно устанавливается в точках выхода сети вблизи периметра. Она анализирует сетевой трафик для обнаружения конфиденциальных данных, которые отправляются с нарушением политик информационной безопасности . Несколько точек контроля безопасности могут сообщать об активности, которая должна быть проанализирована центральным сервером управления. ^[3] Межсетевой экран следующего поколения (NGFW) или система обнаружения вторжений (IDS) являются распространенными примерами технологий, которые могут быть использованы для выполнения возможностей DLP в сети. ^{[7] [8]} Возможности сетевого DLP обычно могут быть подорваны сложным субъектом угрозы с помощью использования методов маскировки данных, таких как шифрование или сжатие. ^[9]

Конечная точка

Системы конечных точек (используемые данные) работают на внутренних рабочих станциях или серверах конечных пользователей. Как и сетевые системы, технологии конечных точек могут решать как внутренние, так и внешние коммуникации. Поэтому их можно использовать для управления потоком информации между группами или типами пользователей (например, « китайские стены »). Они также могут контролировать сообщения электронной почты и мгновенные сообщения до того, как они попадут в корпоративный архив, так что заблокированное сообщение (то есть то, которое никогда не было отправлено и, следовательно, не подпадает под правила хранения) не будет идентифицировано в последующей ситуации юридического раскрытия информации. Системы конечных точек имеют то преимущество, что они могут отслеживать и контролировать доступ к физическим устройствам (например, мобильным устройствам с возможностями хранения данных) и в некоторых случаях могут получать доступ к информации до ее шифрования. Системы конечных точек также имеют доступ к информации, необходимой для предоставления контекстной классификации; например, источник или автор, создающий контент. Некоторые системы конечных точек предоставляют элементы управления приложениями для блокировки попыток передачи конфиденциальной информации и обеспечивают немедленную обратную связь с пользователем. Они должны быть установлены на каждой рабочей станции в сети (обычно через DLP-агента ), не могут использоваться на мобильных устройствах (например, сотовых телефонах и КПК) или там, где их невозможно установить на практике (например, на рабочей станции в интернет-кафе ). ^[10]

Облако

Облако теперь содержит много критически важных данных, поскольку организации переходят на облачные технологии для ускорения совместной работы виртуальной команды. Данные, плавающие в облаке, также должны быть защищены, поскольку они подвержены кибератакам , случайным утечкам и внутренним угрозам. Cloud DLP отслеживает и проверяет данные, обеспечивая при этом доступ и контроль использования данных с помощью политик. Он устанавливает большую сквозную видимость для всех данных, хранящихся в облаке. ^[11]

Идентификация данных

DLP включает методы идентификации конфиденциальной или чувствительной информации. Иногда путают с обнаружением, идентификация данных — это процесс, посредством которого организации используют технологию DLP для определения того, что искать.

Данные классифицируются как структурированные или неструктурированные. Структурированные данные находятся в фиксированных полях внутри файла, такого как электронная таблица, в то время как неструктурированные данные относятся к тексту свободной формы или медиа в текстовых документах, файлах PDF и видео. ^[12] По оценкам, 80% всех данных неструктурированы и 20% структурированы. ^[13]

Защита от потери данных (DLP)

Иногда дистрибьютор данных непреднамеренно или преднамеренно передает конфиденциальные данные одной или нескольким третьим лицам или использует их сам авторизованным образом. Через некоторое время некоторые данные обнаруживаются в неавторизованном месте (например, в Интернете или на ноутбуке пользователя). Затем дистрибьютор должен расследовать источник потери.

Данные в состоянии покоя

« Данные в состоянии покоя » конкретно относятся к информации, которая не перемещается, т. е. которая существует в базе данных или файловом ресурсе. Эта информация вызывает большую озабоченность у предприятий и государственных учреждений просто потому, что чем дольше данные остаются неиспользованными в хранилище, тем больше вероятность того, что они могут быть извлечены неавторизованными лицами. Защита таких данных включает такие методы, как контроль доступа, шифрование данных и политики хранения данных . ^[3]

Данные в использовании

« Используемые данные » относятся к данным, с которыми пользователь взаимодействует в данный момент. Системы DLP, защищающие используемые данные, могут отслеживать и отмечать несанкционированные действия. ^[3] К таким действиям относятся захват экрана, копирование/вставка, печать и факсимильные операции с использованием конфиденциальных данных. Это могут быть преднамеренные или непреднамеренные попытки передать конфиденциальные данные по каналам связи.

Данные в движении

« Данные в движении » — это данные, которые передаются по сети к конечной точке. Сети могут быть внутренними или внешними. Системы DLP, защищающие данные в движении, отслеживают конфиденциальные данные, проходящие по сети через различные каналы связи. ^[3]

Смотрите также

• Компьютерная безопасность
• Список программного обеспечения для резервного копирования
• Инструмент удаления метаданных
• Обнаружение конечной точки и реагирование
• Безопасность конечной точки

Ссылки

1. Хейс, Рид (2007), «Анализ данных», Безопасность розничной торговли и предотвращение потерь , Palgrave Macmillan UK, стр. 137–143, doi :10.1057/9780230598546_9, ISBN 978-1-349-28260-9
2. "Что такое предотвращение потери данных (DLP)? Определение предотвращения потери данных". Digital Guardian . 2020-10-01 . Получено 2020-12-05 .
3. Асаф Шабтай, Ювал Эловичи, Лиор Рокач, Обзор решений по обнаружению и предотвращению утечек данных, Springer-Verlag New York Incorporated, 2012
4. Фуа, К., Защита организаций от утечек персональных данных, Компьютерное мошенничество и безопасность, 1:13-18, 2009
5. BlogPoster (2021-05-13). "Стандартные и расширенные меры по предотвращению потери данных (DLP): в чем разница". Logix Consulting Managed IT Support Services Seattle . Получено 28.08.2022 .
6. Уэлле, Э., Магический квадрант для предотвращения потери данных с учетом содержимого, Технический отчет, RA4 06242010, Gartner RAS Core Research, 2012
7. «Что такое межсетевой экран следующего поколения (NGFW)?». Cisco . 2022-01-02. Архивировано из оригинала 2022-11-05 . Получено 2023-01-02 .
8. "Что такое предотвращение потери данных (DLP)? [Руководство для начинающих] | CrowdStrike". CrowdStrike . 2022-09-27. Архивировано из оригинала 2022-12-06 . Получено 2023-01-02 .
9. Сельцер, Ларри (2019-03-18). "3 способа мониторинга зашифрованного сетевого трафика на предмет вредоносной активности". CSO Online . Архивировано из оригинала 20-09-2022 . Получено 02-01-2023 .
10. "Групповой тест: DLP" (PDF) . Журнал SC . Март 2020 г. Архивировано из оригинала (PDF) 2021-09-07 . Получено 7 сентября 2021 г. .
11. Паскье, Томас; Бэкон, Джин; Сингх, Джатиндер; Эйерс, Дэвид (2016-06-06). «Data-Centric Access Control for Cloud Computing». Труды 21-го симпозиума ACM по моделям и технологиям контроля доступа. SACMAT '16. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 81–88. doi :10.1145/2914642.2914662. ISBN 978-1-4503-3802-8. S2CID  316676.
12. "PC Mag - Неструктурированные данные". Computer Language Co. 2024. Получено 14 января 2024 г.
13. Брайан Э. Берк, «Обзор защиты и контроля информации: тенденции предотвращения потери данных и шифрования», IDC, май 2008 г.