Ochrana nejcennějších aktiv: Prevence úniku dat (DLP)
Nejcennější aktiva, která každá společnost vlastní, jsou paradoxně také ta, která je nejobtížnější zabezpečit. Mluvíme zde o datech – o základní esenci, která zajišťuje fungování celého nervového systému jakékoli organizace. Naštěstí existuje rozsáhlý obor specializující se výhradně na pomoc firmám předcházet ztrátě těchto dat. V čele tohoto odvětví stojí několik dodavatelů, kteří nabízejí technologii známou jako Data Loss Prevention, zkráceně DLP.
Technologie DLP plní dvě klíčové funkce:
- Identifikace citlivých dat, která vyžadují ochranu.
- Zabránění úniku těchto dat.
Chráněná data lze rozdělit do tří hlavních kategorií:
- Data používaná
- Data přenášená
- Data uložená
Data používaná zahrnují aktivní data, typicky ta, která se nacházejí v operační paměti (RAM), mezipaměti nebo registrech procesoru (CPU).
Data přenášená se týkají informací, které proudí v síti, ať už v rámci interní zabezpečené sítě nebo v nezabezpečené veřejné síti (jako je internet nebo telefonní sítě).
Data uložená se vztahují k neaktivním datům, která jsou uložena v databázích, souborových systémech nebo v rámci infrastruktury úložišť.
Z hlediska pokrytí se řešení DLP dělí do dvou hlavních kategorií:
- Firemní DLP (EDLP)
- Integrované DLP (IDLP)
Řešení spadající do kategorie EDLP pokrývají celé spektrum potenciálních únikových vektorů. Naproti tomu IDLP se zaměřují na konkrétní protokol nebo pouze na jeden z výše zmíněných typů dat. Mezi příklady IDLP patří zabezpečení webových stránek, šifrování e-mailů a kontrola zařízení.
Co očekávat od kvalitního DLP řešení?
Neexistuje univerzální DLP řešení. Správná volba závisí na mnoha proměnných. Klíčovými faktory jsou velikost a rozpočet organizace, typy citlivých dat, síťová infrastruktura a specifické technické požadavky. Výběr nejvhodnějšího řešení pro vaši firmu vyžaduje důkladný průzkum a analýzu různých přístupů, metod detekce a architektur DLP.
Po zvážení a analýze vašich potřeb by vaše ideální DLP řešení mělo optimálně vyvažovat následující aspekty:
- Komplexní pokrytí: DLP systémy by měly monitorovat veškerý odchozí provoz na síťové bráně, blokovat úniky prostřednictvím e-mailu a webového/FTP provozu. Dále by měly chránit uložená data napříč všemi úložišti a koncovými body, aby se zabránilo ztrátě aktivních dat.
- Jednotná konzole pro správu: Správa DLP zahrnuje konfiguraci/údržbu systému, tvorbu/správu zásad, sestavování zpráv, správu/třídění incidentů, včasnou detekci/zmírňování rizik a korelaci událostí. Pro efektivní správu je nezbytná jednotná konzole. V opačném případě riskujete zbytečné komplikace.
- Správa incidentů pro dodržování předpisů: Pokud dojde ke ztrátě dat, je klíčové, jak se s ní vypořádáte. Ztráta dat je nevyhnutelná, ale to, jak ji řešíte, může rozhodnout mezi nákladnou pokutou a lehkým napomenutím.
- Přesnost detekce: Tato vlastnost je klíčová pro odlišení kvalitních DLP řešení od těch méně kvalitních. Technologie DLP se spoléhají na omezený počet metod detekce citlivých dat. Běžnou metodou je porovnávání vzorů pomocí regulárních výrazů. Tato metoda však často generuje velké množství falešně pozitivních hlášení. Dobrá DLP řešení by měla využívat i další detekční metody, aby se zvýšila přesnost.
Hlavní přístupy k DLP
S nástupem DLP řešení se dodavatelé zaměřili na nabídku sad komponent, které pokrývají celou infrastrukturu společnosti. Dnes se situace vyvinula a existují různé přístupy k DLP, které spadají do dvou základních kategorií:
- Tradiční DLP
- Agent DLP
Tradiční DLP nabízejí například společnosti Forcepoint, McAfee a Symantec. Tento přístup poskytuje komplexní pokrytí – od síťové brány, přes infrastrukturu úložišť až po koncové body a cloudová prostředí. Tento přístup se stal základem současného trhu DLP.
Druhým přístupem je Agent DLP (ADLP), který využívá agenty na úrovni jádra koncových bodů pro monitorování veškeré aktivity uživatelů i systému. Tato řešení jsou také známá jako Endpoint DLP.
Výběr nejvhodnějšího přístupu závisí na konkrétních požadavcích organizace, typech chráněných dat, odvětví působení a důvodech ochrany. Například organizace ve zdravotnictví a finančním sektoru často musí používat DLP z důvodu dodržování předpisů. Pro tyto společnosti je klíčové, aby DLP řešení dokázala detekovat osobní a zdravotní informace prostřednictvím různých kanálů a v mnoha různých formátech.
Pokud se společnost snaží chránit duševní vlastnictví, bude potřebovat specializovanější metody detekce. Přesná detekce a ochrana citlivých dat je v tomto případě mnohem složitější. Ne všechna tradiční DLP řešení jsou pro tento úkol vhodná.
Architektura DLP: Zvládání složitosti řešení
DLP technologie jsou komplexní. Vyžadují vstupy z mnoha oblastí: web, e-mail, databáze, sítě, zabezpečení, infrastruktura, úložiště atd. Dopad DLP řešení se může projevit i v oblastech mimo IT, jako jsou právní oddělení, HR a řízení rizik. Nasazení, konfigurace a správa DLP řešení bývá obvykle velmi náročná.
Tradiční DLP řešení celou situaci ještě více komplikují. Pro kompletní funkčnost vyžadují další zařízení a software, včetně hardwarových i virtuálních zařízení a serverů.
Síťová architektura organizace musí tato zařízení integrovat, což zahrnuje kontrolu odchozího provozu, blokování e-mailů atd. Jakmile je integrace dokončena, nastupuje další úroveň složitosti, spojená se správou, která se liší v závislosti na dodavateli.
Agent DLP řešení jsou obvykle méně komplikovaná, protože obvykle nevyžadují složitou síťovou integraci. Nicméně, vzhledem k tomu, že spolupracují s operačním systémem na úrovni jádra, vyžadují důkladné ladění, aby nedošlo ke konfliktům s OS a dalšími aplikacemi.
Přehled dodavatelů DLP:
Acronis DeviceLock
Acronis DeviceLock nabízí komplexní řešení pro ochranu dat na koncových bodech, které zabezpečuje vaše citlivá data a zároveň kontroluje informační toky. Zabraňuje úniku dat, ať už je způsoben zlomyslným jednáním nebo nedbalostí zaměstnanců, blokováním nepovolených pokusů o přenos dat nebo přístup k souborům.
Získejte přehled o ochraně dat, jejich tocích a chování uživatelů a zjednodušte ochranu dat a proces reportování. Zajišťuje soulad s bezpečnostními předpisy a standardy IT a snižuje rizika úniku informací prostřednictvím prosazování zásad používání dat.
Využijte průběžné aktualizace, nativní integraci a podporu skupinových zásad. Acronis DeviceLock nabízí konzole pro centrální správu. Umožňuje sledovat aktivitu uživatelů, shromažďovat protokoly, používat nástroje pro vytváření sestav a nabízí modulární architekturu pro řízení celkových nákladů (TCO).
Umožňuje nezbytné operace pro vaše obchodní procesy a minimalizuje interní hrozby. Acronis DeviceLock nabízí řešení pro Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation a VMware Horizon. Umožňuje ovládat stínování dat, upozornění, protokolování a kontextové a obsahové aspekty.
Zaregistrujte se a získejte 30denní zkušební verzi ZDARMA.
ManageEngine
ManageEngine Device Control Plus chrání vaše data před hrozbami tím, že umožňuje přiřazovat kontrolu přístupu k zařízením na základě rolí, chrání je před malwarem a analyzuje zařízení.
Používání vyměnitelných zařízení, jako jsou USB disky, může vést ke ztrátě dat, ale není to jediný problém. Device Control Plus zabraňuje neoprávněnému přístupu k datům blokováním neautorizovaného přístupu k zařízením. Dodržujte jednoduché zásady, jako je nastavení přístupu pouze pro čtení nebo zabránění uživatelům kopírovat soubory z vyměnitelných zařízení.
Můžete nastavit omezení typu a velikosti souboru na základě dat, se kterými vaše firma nakládá. Zajišťuje ochranu dat v reálném čase prostřednictvím omezeného přenosu dat. Identifikace a odstranění škodlivých zařízení může být komplikované, proto je důležité vytvořit seznam důvěryhodných zařízení. Tím se zajistí, že pouze autorizovaná zařízení budou mít přístup ke koncovým bodům.
Sledujte, kdo a na kterém koncovém bodě používá zařízení pomocí reportů a auditů. Nástroj také poskytuje okamžitá upozornění v případě neoprávněného přístupu. Stáhněte si software a vyzkoušejte 30denní zkušební verzi s funkcemi ZDARMA.
Digital Guardian
Digital Guardian vznikla v roce 2003 pod názvem Verdasys s cílem chránit duševní vlastnictví před krádeží. Jejich prvním produktem byl koncový agent schopný monitorovat veškerou aktivitu uživatelů i systému.
Kromě sledování nelegálních aktivit řešení zaznamenává i zdánlivě neškodné aktivity, aby odhalilo podezřelé události. Záznamy protokolů lze analyzovat a odhalit události, které by tradiční DLP (TDLP) řešení nedokázala zachytit.
DG získal Code Green Networks, aby doplnil své ADLP řešení o tradiční DLP nástroje. Nicméně integrace mezi řešeními ADLP a TDLP společnosti DG není příliš velká a prodávají se samostatně.
Forcepoint
Forcepoint je významným hráčem v Gartnerově „magickém kvadrantu“ prodejců TDLP. Jejich bezpečnostní platforma nabízí sadu produktů pro filtrování URL adres, zabezpečení e-mailu a webu. Tyto nástroje doplňují osvědčená řešení třetích stran, jako SureView Insider Threat Technology, McAfee’s Stonesoft NGFW a Imperva’s Skyfence CASB.
Architektura Forcepoint řešení je jednoduchá a zahrnuje servery pro správu, monitorování datového a síťového provozu a blokování e-mailů/sledování webového provozu. Toto řešení je uživatelsky přívětivé a nabízí mnoho zásad kategorizovaných podle zemí, odvětví atd.
Mezi jedinečné vlastnosti Forcepoint DLP patří schopnost detekce citlivých dat v obrazových souborech pomocí OCR a hodnocení rizik incidentů, které správcům systému pomáhá určit, které incidenty by měly být prioritně prověřeny.
McAfee
Po akvizici společností Intel McAfee příliš neinvestovala do své DLP nabídky. Produkty proto nedostávaly aktualizace a začaly zaostávat za konkurenčními DLP řešeními. O několik let později Intel oddělil svoji bezpečnostní divizi a McAfee se opět stala autonomní společností. Poté se její produktová řada DLP dočkala potřebných aktualizací.
McAfee DLP řešení se skládá ze tří hlavních komponent, které pokrývají:
- Síť
- Zjišťování
- Koncové body
Unikátní komponentou je McAfee DLP Monitor, který umožňuje sběr dat z incidentů souvisejících s porušením zásad a shromažďování veškerého síťového provozu. Tímto způsobem je možné kontrolovat většinu dat a odhalovat incidenty, které by jinak mohly zůstat nezjištěny.
O většinu správy DLP řešení se stará McAfee’s ePolicy Orchestrator. Stále však existují určité administrativní úkoly, které je třeba provést mimo tento systém. Společnost zatím plně neintegrovala svoji DLP nabídku. Zda se tak stane v budoucnosti, je zatím nejisté.
Symantec
Symantec je lídrem v oblasti DLP řešení díky neustálým inovacím. Společnost má největší instalovanou základnu ze všech DLP dodavatelů. Jejich řešení má modulární přístup, přičemž každá funkce vyžaduje samostatnou softwarovou komponentu. Seznam komponent je rozsáhlý a zahrnuje například Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover atd.
Jedinečná komponenta Data Insight nabízí přehled o využití nestrukturovaných dat, vlastnictví a přístupových oprávněních. Díky tomu může konkurovat i produktům mimo oblast DLP a nabízí tak organizacím další hodnotu.
Symantec DLP lze různými způsoby přizpůsobit, přičemž téměř každá funkce má své konfigurační možnosti. Nicméně, tato flexibilita je vykoupena větší složitostí. Toto řešení je pravděpodobně nejsložitější na trhu a může vyžadovat mnoho hodin nasazení a podpory.
RSA
DLP řešení společnosti EMC, RSA Data Loss Prevention, umožňuje objevovat a monitorovat toky citlivých dat, jako jsou firemní duševní vlastnictví nebo údaje o zákaznických kreditních kartách. Řešení pomáhá vzdělávat koncové uživatele a implementovat kontroly v e-mailu, webu, telefonech atd., aby se snížilo riziko ohrožení důležitých dat.
RSA Data Loss Prevention se odlišuje komplexním pokrytím, integrací platforem a automatizací pracovních postupů. Nabízí kombinaci klasifikace obsahu, otisků prstů, analýzy metadat a odborných zásad pro přesnou identifikaci citlivých informací.
Rozsáhlé pokrytí EMC zahrnuje mnoho rizikových vektorů. Neomezuje se pouze na e-mail, web a FTP, ale také sociální média, USB zařízení, SharePoint a další. Jejich přístup zaměřený na vzdělávání uživatelů se snaží zvýšit povědomí o rizicích mezi koncovými uživateli a ovlivňovat jejich chování při práci s citlivými daty.
CA Data Protection
CA Data Protection (DLP nabídka společnosti Broadcom) přidává čtvrtou třídu dat – kromě používaných, přenášených a uložených dat – data „při přístupu“. Zaměřuje se na to, kde se data nacházejí, jak se s nimi zachází a jak jsou citlivá. Řešení se snaží omezit ztráty a zneužití dat tím, že kontroluje nejen informace, ale i přístup k nim.
Řešení slibuje správcům sítě snížení rizik pro jejich nejkritičtější aktiva, kontrolu informací napříč podnikovými lokalitami, zmírnění rizikových způsobů komunikace a umožnění souladu s regulačními a podnikovými zásadami. Připravuje také půdu pro přechod ke cloudovým službám.
Ušetřit miliony nebo o ně přijít?
Dobře zvolené DLP řešení vám může ušetřit značné finanční prostředky. Nicméně, pokud nevyberete to pravé řešení pro vaše potřeby nebo jej nenasadíte správným způsobem, může vás to stát miliony. Pokud jste si mysleli, že výběr DLP řešení je pouze otázkou procházení porovnávacích tabulek, mýlili jste se.
Připravte se na to, že budete muset věnovat hodně času nejen na nasazení DLP řešení, ale i na analýzu všech nabídek a výběr toho, které nejlépe odpovídá potřebám vaší organizace.