Программное обеспечение для предотвращения потери данных

Концепция защиты от взлома данных

Программное обеспечение для предотвращения потери данных (DLP) обнаруживает потенциальные утечки данных /передачу утечки данных и предотвращает их путем мониторинга, ^[1] обнаружения и блокировки конфиденциальных данных во время их использования (действия конечной точки), в движении ( сетевой трафик ) и в состоянии покоя ( хранение данных). ). ^[2]

Термины « потеря данных » и « утечка данных » связаны между собой и часто используются как синонимы. ^[3] Инциденты потери данных превращаются в инциденты утечки данных в случаях, когда носитель, содержащий конфиденциальную информацию, утерян и впоследствии получен неавторизованной стороной. Однако утечка данных возможна без потери данных на исходной стороне. Другими терминами, связанными с предотвращением утечки данных, являются обнаружение и предотвращение утечек информации (ILDP), предотвращение утечек информации (ILP), мониторинг и фильтрация контента (CMF), защита и контроль информации (IPC) и система предотвращения выдавливания (EPS), в отличие от Система предотвращения вторжений .

Категории

Технологические средства, используемые для борьбы с инцидентами утечки данных, можно разделить на категории: стандартные меры безопасности, расширенные/интеллектуальные меры безопасности, контроль доступа и шифрование, а также специальные системы DLP, хотя сегодня только последняя категория считается DLP. ^[4] Распространенными методами DLP для обнаружения вредоносной или иной нежелательной активности и механического реагирования на нее являются автоматическое обнаружение и реагирование. Большинство DLP-систем полагаются на заранее определенные правила для идентификации и классификации конфиденциальной информации, что, в свою очередь, помогает системным администраторам сосредоточиться на уязвимых местах. После этого в некоторых районах могут быть установлены дополнительные меры безопасности.

Стандартные меры

Стандартные меры безопасности, такие как межсетевые экраны , системы обнаружения вторжений (IDS) и антивирусное программное обеспечение , являются общедоступными продуктами, которые защищают компьютеры от внешних и внутренних атак. ^[5] Например, использование брандмауэра предотвращает доступ посторонних лиц к внутренней сети, а система обнаружения вторжений обнаруживает попытки вторжения со стороны посторонних. Внутренние атаки можно предотвратить с помощью антивирусного сканирования, обнаруживающего троянских коней , отправляющих конфиденциальную информацию , а также с помощью тонких клиентов, работающих в архитектуре клиент-сервер , без хранения личных или конфиденциальных данных на клиентском устройстве.

Расширенные меры

В расширенных мерах безопасности используются алгоритмы машинного обучения и временного мышления для обнаружения ненормального доступа к данным (например, к базам данных или системам поиска информации) или ненормального обмена электронной почтой, ловушки для обнаружения авторизованного персонала со злонамеренными намерениями и проверка на основе действий (например, распознавание динамики нажатия клавиш). ) и мониторинг активности пользователей для обнаружения ненормального доступа к данным.

Назначенные DLP-системы

Специально разработанные системы обнаруживают и предотвращают несанкционированные попытки копирования или отправки конфиденциальных данных, намеренные или непреднамеренные, в основном со стороны персонала, уполномоченного на доступ к конфиденциальной информации. Чтобы классифицировать определенную информацию как конфиденциальную, они используют такие механизмы, как точное сопоставление данных, снятие отпечатков пальцев структурированных данных , статистические методы, сопоставление правил и регулярных выражений , опубликованные словари, концептуальные определения, ключевые слова и контекстную информацию, такую ​​​​как источник данных. ^[6]

Типы

Сеть

Сетевые технологии (данные в движении) обычно устанавливаются в точках выхода сети вблизи периметра. Он анализирует сетевой трафик для обнаружения конфиденциальных данных, которые отправляются с нарушением политик информационной безопасности . Несколько точек управления безопасностью могут сообщать об активности для анализа центральным сервером управления. ^[3] Межсетевой экран нового поколения (NGFW) или система обнаружения вторжений (IDS) являются распространенными примерами технологий, которые можно использовать для реализации функций DLP в сети. ^{[7] [8]} Возможности сетевой DLP обычно могут быть подорваны сложным злоумышленником за счет использования методов маскировки данных, таких как шифрование или сжатие. ^[9]

Конечная точка

Системы конечных точек (используемые данные) работают на внутренних рабочих станциях или серверах конечных пользователей. Как и сетевые системы, технология на основе конечных точек может охватывать как внутренние, так и внешние коммуникации. Поэтому его можно использовать для управления потоком информации между группами или типами пользователей (например, « Китайские стены »). Они также могут контролировать электронную почту и обмен мгновенными сообщениями до того, как они попадут в корпоративный архив, так что заблокированное сообщение (то есть то, которое никогда не отправлялось и, следовательно, не подпадает под действие правил хранения) не будет идентифицировано в последующей ситуации юридического раскрытия. Преимущество оконечных систем заключается в том, что они могут отслеживать и контролировать доступ к физическим устройствам (например, мобильным устройствам с возможностью хранения данных), а в некоторых случаях могут получать доступ к информации до того, как она будет зашифрована. Конечные системы также имеют доступ к информации, необходимой для контекстной классификации; например, источник или автор, генерирующий контент. Некоторые системы на базе конечных точек предоставляют элементы управления приложениями, позволяющие блокировать попытки передачи конфиденциальной информации и обеспечивать немедленную обратную связь с пользователем. Они должны быть установлены на каждой рабочей станции в сети (обычно через агент DLP ), не могут использоваться на мобильных устройствах (например, сотовых телефонах и КПК) или там, где их практически невозможно установить (например, на рабочей станции в интернет- кафе ). . ^[10]

Облако

Облако теперь содержит много критически важных данных, поскольку организации переходят на облачные технологии для ускорения совместной работы виртуальных групп. Данные, находящиеся в облаке, также нуждаются в защите, поскольку они подвержены кибератакам , случайной утечке и инсайдерским угрозам. Cloud DLP отслеживает и проверяет данные, одновременно обеспечивая контроль доступа и использования данных с помощью политик. Это обеспечивает лучшую сквозную видимость всех данных, хранящихся в облаке. ^[11]

Идентификация данных

DLP включает в себя методы идентификации конфиденциальной или чувствительной информации. Идентификация данных, которую иногда путают с обнаружением, представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать.

Данные подразделяются на структурированные и неструктурированные. Структурированные данные хранятся в фиксированных полях внутри файла, например электронной таблицы, тогда как неструктурированные данные относятся к тексту свободной формы или медиафайлам в текстовых документах, файлах PDF и видео. ^[12] По оценкам, 80% всех данных неструктурированы, а 20% структурированы. ^[13]

Защита от потери данных (DLP)

Иногда распространитель данных непреднамеренно или непреднамеренно передает конфиденциальные данные одной или нескольким третьим лицам или использует их самостоятельно авторизованным образом. Спустя некоторое время часть данных обнаруживается в неавторизованном месте (например, в Интернете или на ноутбуке пользователя). Дистрибьютор должен затем выяснить источник потери.

Данные в состоянии покоя

« Хранящиеся данные » конкретно относятся к информации, которая не перемещается, т. е. существует в базе данных или общем файловом ресурсе. Эта информация вызывает большую озабоченность у предприятий и государственных учреждений просто потому, что чем дольше данные остаются неиспользованными в хранилище, тем больше вероятность того, что они могут быть извлечены неавторизованными лицами. Защита таких данных включает в себя такие методы, как контроль доступа, шифрование данных и политики хранения данных . ^[3]

Используемые данные

« Используемые данные » относятся к данным, с которыми пользователь в данный момент взаимодействует. Системы DLP, защищающие используемые данные, могут отслеживать и сигнализировать о несанкционированных действиях. ^[3] Эти действия включают в себя захват экрана, копирование/вставку, печать и операции по факсу, связанные с конфиденциальными данными. Это могут быть намеренные или непреднамеренные попытки передать конфиденциальные данные по каналам связи.

Данные в движении

« Данные в движении » — это данные, которые проходят через сеть к конечной точке. Сети могут быть внутренними и внешними. Системы DLP, защищающие данные в движении, отслеживают конфиденциальные данные, перемещающиеся по сети по различным каналам связи. ^[3]

Смотрите также

• Список программного обеспечения для резервного копирования
• Инструмент удаления метаданных
• Обнаружение конечных точек и реагирование
• Безопасность конечных точек

Рекомендации

1. Хейс, Рид (2007), «Анализ данных», Безопасность розничной торговли и предотвращение потерь , Palgrave Macmillan UK, стр. 137–143, doi : 10.1057/9780230598546_9, ISBN 978-1-349-28260-9
2. «Что такое предотвращение потери данных (DLP)? Определение предотвращения потери данных» . Цифровой страж . 01.10.2020 . Проверено 5 декабря 2020 г.
3. Асаф Шабтай, Юваль Эловичи, Лиор Рокач, Обзор решений по обнаружению и предотвращению утечки данных, Springer-Verlag New York Incorporated, 2012 г.
4. Фуа, К., Защита организаций от утечки личных данных, Компьютерное мошенничество и безопасность, 1: 13-18, 2009 г.
5. Плакат блога (13 мая 2021 г.). «Стандартные и расширенные меры предотвращения потери данных (DLP): в чем разница». Logix Consulting Услуги по управлению ИТ-поддержкой Сиэтл . Проверено 28 августа 2022 г.
6. Уэлле, Э., Магический квадрант для предотвращения потери данных с учетом содержимого, Технический отчет, RA4 06242010, Основное исследование Gartner RAS, 2012 г.
7. «Что такое межсетевой экран следующего поколения (NGFW)?». Циско . 02.01.2022. Архивировано из оригинала 5 ноября 2022 г. Проверено 2 января 2023 г.
8. «Что такое предотвращение потери данных (DLP)? [Руководство для начинающих] | CrowdStrike» . КраудСтрайк . 27 сентября 2022 г. Архивировано из оригинала 06 декабря 2022 г. Проверено 2 января 2023 г.
9. Зельцер, Ларри (18 марта 2019 г.). «3 способа мониторинга зашифрованного сетевого трафика на предмет вредоносной активности». ЦСО онлайн . Архивировано из оригинала 20 сентября 2022 г. Проверено 2 января 2023 г.
10. «Групповой тест: DLP» (PDF) . Журнал СК . Март 2020 года . Проверено 7 сентября 2021 г.
11. Паскье, Томас; Бэкон, Жан; Сингх, Джатиндер; Эйерс, Дэвид (6 июня 2016 г.). «Информационно-ориентированный контроль доступа для облачных вычислений». Материалы 21-го симпозиума ACM по моделям и технологиям контроля доступа. САКМАТ '16. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 81–88. дои : 10.1145/2914642.2914662. ISBN 978-1-4503-3802-8. S2CID  316676.
12. "PC Mag - Неструктурированные данные" . Компания «Компьютерный язык» , 2024 г. Проверено 14 января 2024 г.
13. Брайан Э. Берк, «Опрос по защите и контролю информации: тенденции предотвращения потери данных и шифрования», IDC, май 2008 г.