Программное обеспечение для предотвращения потери данных (DLP) обнаруживает потенциальные утечки данных /передачу утечки данных и предотвращает их путем мониторинга, [1] обнаружения и блокировки конфиденциальных данных во время их использования (действия конечной точки), в движении ( сетевой трафик ) и в состоянии покоя ( хранение данных). ). [2]
Термины « потеря данных » и « утечка данных » связаны между собой и часто используются как синонимы. [3] Инциденты потери данных превращаются в инциденты утечки данных в случаях, когда носитель, содержащий конфиденциальную информацию, утерян и впоследствии получен неавторизованной стороной. Однако утечка данных возможна без потери данных на исходной стороне. Другими терминами, связанными с предотвращением утечки данных, являются обнаружение и предотвращение утечек информации (ILDP), предотвращение утечек информации (ILP), мониторинг и фильтрация контента (CMF), защита и контроль информации (IPC) и система предотвращения выдавливания (EPS), в отличие от Система предотвращения вторжений .
Технологические средства, используемые для борьбы с инцидентами утечки данных, можно разделить на категории: стандартные меры безопасности, расширенные/интеллектуальные меры безопасности, контроль доступа и шифрование, а также специальные системы DLP, хотя сегодня только последняя категория считается DLP. [4] Распространенными методами DLP для обнаружения вредоносной или иной нежелательной активности и механического реагирования на нее являются автоматическое обнаружение и реагирование. Большинство DLP-систем полагаются на заранее определенные правила для идентификации и классификации конфиденциальной информации, что, в свою очередь, помогает системным администраторам сосредоточиться на уязвимых местах. После этого в некоторых районах могут быть установлены дополнительные меры безопасности.
Стандартные меры безопасности, такие как межсетевые экраны , системы обнаружения вторжений (IDS) и антивирусное программное обеспечение , являются общедоступными продуктами, которые защищают компьютеры от внешних и внутренних атак. [5] Например, использование брандмауэра предотвращает доступ посторонних лиц к внутренней сети, а система обнаружения вторжений обнаруживает попытки вторжения со стороны посторонних. Внутренние атаки можно предотвратить с помощью антивирусного сканирования, обнаруживающего троянских коней , отправляющих конфиденциальную информацию , а также с помощью тонких клиентов, работающих в архитектуре клиент-сервер , без хранения личных или конфиденциальных данных на клиентском устройстве.
В расширенных мерах безопасности используются алгоритмы машинного обучения и временного мышления для обнаружения ненормального доступа к данным (например, к базам данных или системам поиска информации) или ненормального обмена электронной почтой, ловушки для обнаружения авторизованного персонала со злонамеренными намерениями и проверка на основе действий (например, распознавание динамики нажатия клавиш). ) и мониторинг активности пользователей для обнаружения ненормального доступа к данным.
Специально разработанные системы обнаруживают и предотвращают несанкционированные попытки копирования или отправки конфиденциальных данных, намеренные или непреднамеренные, в основном со стороны персонала, уполномоченного на доступ к конфиденциальной информации. Чтобы классифицировать определенную информацию как конфиденциальную, они используют такие механизмы, как точное сопоставление данных, снятие отпечатков пальцев структурированных данных , статистические методы, сопоставление правил и регулярных выражений , опубликованные словари, концептуальные определения, ключевые слова и контекстную информацию, такую как источник данных. [6]
Сетевые технологии (данные в движении) обычно устанавливаются в точках выхода сети вблизи периметра. Он анализирует сетевой трафик для обнаружения конфиденциальных данных, которые отправляются с нарушением политик информационной безопасности . Несколько точек управления безопасностью могут сообщать об активности для анализа центральным сервером управления. [3] Межсетевой экран нового поколения (NGFW) или система обнаружения вторжений (IDS) являются распространенными примерами технологий, которые можно использовать для реализации функций DLP в сети. [7] [8] Возможности сетевой DLP обычно могут быть подорваны сложным злоумышленником за счет использования методов маскировки данных, таких как шифрование или сжатие. [9]
Системы конечных точек (используемые данные) работают на внутренних рабочих станциях или серверах конечных пользователей. Как и сетевые системы, технология на основе конечных точек может охватывать как внутренние, так и внешние коммуникации. Поэтому его можно использовать для управления потоком информации между группами или типами пользователей (например, « Китайские стены »). Они также могут контролировать электронную почту и обмен мгновенными сообщениями до того, как они попадут в корпоративный архив, так что заблокированное сообщение (то есть то, которое никогда не отправлялось и, следовательно, не подпадает под действие правил хранения) не будет идентифицировано в последующей ситуации юридического раскрытия. Преимущество оконечных систем заключается в том, что они могут отслеживать и контролировать доступ к физическим устройствам (например, мобильным устройствам с возможностью хранения данных), а в некоторых случаях могут получать доступ к информации до того, как она будет зашифрована. Конечные системы также имеют доступ к информации, необходимой для контекстной классификации; например, источник или автор, генерирующий контент. Некоторые системы на базе конечных точек предоставляют элементы управления приложениями, позволяющие блокировать попытки передачи конфиденциальной информации и обеспечивать немедленную обратную связь с пользователем. Они должны быть установлены на каждой рабочей станции в сети (обычно через агент DLP ), не могут использоваться на мобильных устройствах (например, сотовых телефонах и КПК) или там, где их практически невозможно установить (например, на рабочей станции в интернет- кафе ). . [10]
Облако теперь содержит много критически важных данных, поскольку организации переходят на облачные технологии для ускорения совместной работы виртуальных групп. Данные, находящиеся в облаке, также нуждаются в защите, поскольку они подвержены кибератакам , случайной утечке и инсайдерским угрозам. Cloud DLP отслеживает и проверяет данные, одновременно обеспечивая контроль доступа и использования данных с помощью политик. Это обеспечивает лучшую сквозную видимость всех данных, хранящихся в облаке. [11]
DLP включает в себя методы идентификации конфиденциальной или чувствительной информации. Идентификация данных, которую иногда путают с обнаружением, представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать.
Данные подразделяются на структурированные и неструктурированные. Структурированные данные хранятся в фиксированных полях внутри файла, например электронной таблицы, тогда как неструктурированные данные относятся к тексту свободной формы или медиафайлам в текстовых документах, файлах PDF и видео. [12] По оценкам, 80% всех данных неструктурированы, а 20% структурированы. [13]
Иногда распространитель данных непреднамеренно или непреднамеренно передает конфиденциальные данные одной или нескольким третьим лицам или использует их самостоятельно авторизованным образом. Спустя некоторое время часть данных обнаруживается в неавторизованном месте (например, в Интернете или на ноутбуке пользователя). Дистрибьютор должен затем выяснить источник потери.
« Хранящиеся данные » конкретно относятся к информации, которая не перемещается, т. е. существует в базе данных или общем файловом ресурсе. Эта информация вызывает большую озабоченность у предприятий и государственных учреждений просто потому, что чем дольше данные остаются неиспользованными в хранилище, тем больше вероятность того, что они могут быть извлечены неавторизованными лицами. Защита таких данных включает в себя такие методы, как контроль доступа, шифрование данных и политики хранения данных . [3]
« Используемые данные » относятся к данным, с которыми пользователь в данный момент взаимодействует. Системы DLP, защищающие используемые данные, могут отслеживать и сигнализировать о несанкционированных действиях. [3] Эти действия включают в себя захват экрана, копирование/вставку, печать и операции по факсу, связанные с конфиденциальными данными. Это могут быть намеренные или непреднамеренные попытки передать конфиденциальные данные по каналам связи.
« Данные в движении » — это данные, которые проходят через сеть к конечной точке. Сети могут быть внутренними и внешними. Системы DLP, защищающие данные в движении, отслеживают конфиденциальные данные, перемещающиеся по сети по различным каналам связи. [3]