Най-ценните активи на една компания са и най-трудни за защита.
Говорим за данни, основното вещество, което поддържа нервната система на всяка компания жива. За щастие има цяла индустрия, посветена изключително на това да помогне на компаниите да избегнат загуба на данни. Тази индустрия се ръководи от шепа доставчици, които предоставят технология, известна като Data Loss Prevention или накратко DLP.
DLP технологиите изпълняват две основни функции.
- Идентифицирайте чувствителните данни, които трябва да бъдат защитени
- Предотвратете загубата на такива данни
Видовете данни, които те защитават, могат да бъдат разделени на три основни групи:
- Използвани данни
- Данни в движение
- Данните в покой
Използваните данни се отнасят за активни данни, обикновено данни, които се намират в RAM, кеш памети или регистри на процесора.
Данните в движение се отнасят за данните, които пътуват през мрежа, вътрешна и защитена мрежа или незащитена обществена мрежа (интернет, телефонна мрежа и т.н.).
А данните в покой се отнасят до данните, които са в неактивно състояние, съхранявани в база данни, файлова система или инфраструктура за съхранение.
По отношение на възможностите за покритие, DLP решенията могат да бъдат класифицирани в две категории.
- Enterprise DLP или EDLP
- Интегриран DLP или IDLP
Решенията, които попадат в категорията EDLP, са тези, които покриват целия векторен спектър на течове. За разлика от това, IDLP решенията са фокусирани върху един протокол или само върху един от трите споменати по-горе вида данни. Някои примери за IDLP решения са уеб сигурност, криптиране на имейли и контрол на устройството.
Съдържание
Какво да очаквате от страхотно DLP решение?
В DLP няма такова нещо като решение „един за всички“. Правилното решение за всяка необходимост зависи от много фактори. Те включват размер и бюджет на организацията, видове чувствителни данни, мрежова инфраструктура, технически изисквания и други. За да определите кое решение е най-добро за вашата компания, са необходими усилия и проучване, за да определите какво да изберете между DLP подходи, методи за откриване и архитектури на решения.
След проучване и анализ на вашите изисквания, вашето идеално DLP решение трябва да осигури оптималния баланс на тези аспекти:
- Цялостно покритие: DLP компонентите трябва да покриват мрежовия шлюз, така че да наблюдават целия изходящ трафик и да блокират изтичане под формата на имейли и уеб/FTP трафик. Те трябва също да покриват съхранени данни във всички ресурси за съхранение на компанията и всички крайни точки, за да предотвратят загуби на използваните данни.
- Единична конзола за управление: Управлението на DLP решението изисква усилия и време, изразходвани за системна конфигурация/поддръжка, създаване/управление на правила, докладване, управление/сортиране на инциденти, ранно откриване/намаляване на риска и корелация на събития. Поддръжката на тези области изисква единна конзола за управление. В противен случай можете да създадете ненужни рискове.
- Управление на инциденти за съответствие: Когато възникне инцидент със загуба на данни, правилното му обработване е от решаващо значение. Трябва да сте наясно, че загубата на данни е неизбежна, но разликата между скъпата глоба и удара по китката може да бъде направена в начина, по който се обработва инцидент със загуба на данни.
- Точност на метода за откриване: Не на последно място, този аспект на DLP решението разделя добрите решения от лошите. DLP технологиите зависят от намален набор от методи за откриване, когато дойде време за идентифициране на чувствителни данни. Съпоставянето на образец, използвайки регулярни изрази, е най-широко използваният метод за откриване. Този метод обаче е изключително неточен, което води до дълги опашки от фалшиво положителни инциденти. Добрите DLP технологии трябва да добавят други методи за откриване към традиционното съвпадение на шаблони, за да подобрят точността.
Основни DLP подходи
Когато DLP решенията започнаха да се развиват, всички доставчици се обърнаха към DLP с набори от компоненти, предназначени да покрият инфраструктурата на компанията. В днешно време ситуацията се е променила и не всички доставчици използват същия подход. Тези подходи попадат в две основни категории.
- Традиционен DLP
- Агент DLP
Традиционният DLP се предлага от някои от доставчиците на пазара, като Forcepoint, McAfee и Symantec. Традиционният подход, който тези доставчици предлагат, също е многостранен: той осигурява покритие на мрежовия шлюз, в инфраструктурата за съхранение, в крайните точки и в облака. Този подход беше достатъчно успешен, за да очертае днешния DLP пазар и беше първият, който грабна важна част от пазарния дял.
Вторият подход към DLP се нарича Agent DLP или ADLP. Той използва крайни агенти на ниво ядро, които наблюдават цялата потребителска и системна активност. Ето защо решенията, които се вписват в този подход, са известни също като Endpoint DLP решения.
Не е лесно да се определи кой подход е най-подходящ за изискванията на една организация. Това до голяма степен зависи от типовете данни, които трябва да бъдат защитени, индустрията, в която работи организацията, и причините за защита на данните. Например организациите в здравеопазването и финансовата индустрия са принудени да използват DLP за съответствие с нормативните изисквания. За тези компании DLP решението трябва да открива лична и здравна информация през различни канали и в много различни форми.
От друга страна, ако една компания се нуждае от DLP за защита на интелектуалната собственост, приложеното DLP решение ще изисква по-специализирани методи за откриване. Също така точното откриване и защита на чувствителни данни са много по-трудни за постигане. Не всяко традиционно DLP решение ще осигури правилните инструменти за тази работа.
DLP архитектура: как да оцелеем при сложността на решението
DLP технологиите са сложни. Те изискват информация от много различни области: уеб, електронна поща, бази данни, мрежи, сигурност, инфраструктура, съхранение и т.н. Също така, въздействието на DLP решение може да достигне до области извън ИТ, като правни, човешки ресурси, управление на риска и т.н. За да стане още по-сложно, DLP решенията обикновено са много трудни за внедряване, конфигуриране и управление.
Традиционните DLP решения добавят още повече сложност към рецептата. Те изискват множество устройства и софтуер, за да стартират цялостното решение. Те могат да включват уреди (виртуални или реални) и сървъри.
Мрежовата архитектура на организацията трябва да интегрира тези устройства и тази интеграция трябва да включва проверка на изходящия мрежов трафик, блокиране на имейли и т.н. След като интеграцията бъде извършена, възниква друго ниво на сложност на сложността на управлението, което зависи от всеки доставчик.
DLP решенията на агент обикновено са по-малко сложни от традиционните, главно защото изискват малка или никаква мрежова интеграция. Тези решения обаче взаимодействат с операционната система на ниво ядро. Следователно е необходима разширена настройка, за да се избегне конфликт с операционната система и други приложения.
Разбивка на доставчика на DLP:
Acronis DeviceLock
Acronis DeviceLock предотвратяването на загуба на данни осигурява цялостно решение за крайна точка, като защитава вашите чувствителни данни, докато проверява информационните операции. Не е необходимо да губите необходимите си данни поради злонамерени вътрешни лица или небрежност на служителите; предотвратяване на изтичане на данни чрез блокиране на неоторизирани опити за прехвърляне на данни или достъп до други файлове.
Получете представа за защитата на данните, техните потоци и поведението на потребителите и намалете сложността на защитата на данните и времето за докладване. Спазвайте разпоредбите и стандартите за ИТ сигурност и намалете рисковете от изтичане на информация чрез обработка и налагане на политики за използване на данни.
Отидете с надстройки без прекъсване и собствена интеграция заедно с групова политика. Acronis DeviceLock предлага централни конзоли за управление според изискванията на вашето предприятие. Тя ви позволява да наблюдавате активността на потребителите, да събирате регистрационни файлове, да използвате инструменти за отчитане, да преглеждате записи в регистрационни файлове и да получите модулна архитектура за контрол на TCO (обща цена на собственост).
Позволете необходимите операции за вашите бизнес процеси и минимизирайте вътрешните заплахи. Acronis DeviceLock предлага решения като Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation и VMware Horizon view. Можете също така да контролирате засенчването на данни, предупрежденията, регистрирането, съобразяването с контекста и съдържанието.
Регистрирайте се, за да получите 30-дневен БЕЗПЛАТЕН пробен период.
ManageEngine
ManageEngine Device Control Plus защитава вашите данни от заплахи, като ви позволява да зададете ролеви контроли за достъп за устройствата, да ги защитите от атаки на зловреден софтуер и да анализирате устройства.
Използването на сменяеми устройства като USB води до загуба на данни, но това не е така; съществуват много други проблеми. Освен това Device Control Plus предотвратява вашите данни, като блокира неоторизиран достъп до устройствата. Следвайте прости правила като задаване на достъп само за четене, блокиране на потребителите да копират файлове от сменяемите устройства и др.
Можете да зададете ограничения за типа и размера на файла въз основа на данните, с които работи вашият бизнес. Освен това, осигурете защита на данните в реално време, като позволите ограничен трансфер на данните. Идентифицирането и премахването на злонамерени устройства е сложна задача; създайте списък с устройства, на които можете да се доверите. Той ще гарантира, че нито едно устройство няма достъп до крайните точки, освен ако не е упълномощено.
Проследявайте кой използва устройството на коя крайна точка с отчети и одити, за да наблюдавате опитите за хакване. Инструментът също така предлага незабавни предупреждения, ако ще има неоторизиран достъп. Изтеглете софтуера и вземете 30-дневен БЕЗПЛАТЕН пробен период с функциите.
Дигитален пазител
Дигитален пазител е роден през 2003 г. като Verdasys, с цел да предостави технология за предотвратяване на кражба на интелектуална собственост. Първият му продукт беше агент за крайна точка, способен да наблюдава цялата потребителска и системна активност.
Освен наблюдение на незаконни дейности, решението регистрира и привидно доброкачествени дейности, за да открие подозрителни действия. Докладът за регистриране може да бъде анализиран за откриване на събития, които TDLP решенията не могат да уловят.
DG придоби Code Green Networks, за да допълни своето ADLP решение с традиционни DLP инструменти. Въпреки това има малка интеграция между ADLP и TDLP решенията на DG. Дори се продават поотделно.
Силова точка
Силова точка се намира в привилегирована позиция в „магическия квадрант“ на доставчиците на TDLP на Gartner. Неговата платформа за сигурност включва набор от продукти за филтриране на URL адреси, имейл и уеб сигурност. Тези инструменти са допълнени с някои реномирани решения на трети страни: SureView Insider Threat Technology, Stonesoft NGFW на McAfee и Skyfence CASB на Imperva.
Архитектурата в решението на Forcepoint е проста в сравнение с други решения. Той включва сървъри за управление, мониторинг на данни и мрежов трафик и блокиране на имейли/мониторинг на уеб трафик. Решението е удобно за потребителя и включва много политики, категоризирани по държава, индустрия и т.н.
Някои функции правят решението Forcepoint DLP уникално. Например възможност за OCR за откриване на чувствителни данни във файлове с изображения. Или класиране на риска от инциденти, за да могат системните администратори да видят кои инциденти трябва да бъдат прегледани на първо място.
McAfee
След придобиването му от Intel, McAfee не направи твърде много инвестиции в своето DLP предложение. Следователно продуктите не получиха много актуализации и загубиха позиции пред конкурентните DLP продукти. Няколко години по-късно Intel отдели подразделението си за сигурност и McAfee отново стана автономна компания. След това неговата продуктова линия DLP получи някои необходими актуализации.
DLP решението на McAfee се състои от три основни части, обхващащи
- мрежа
- Откриване
- Крайна точка
Един компонент е доста уникален сред другите DLP предложения: DLP мониторът на McAfee. Този компонент позволява улавянето на данни от инциденти, предизвикани от нарушения на правилата, заедно с целия мрежов трафик. По този начин компонентът позволява преглед на повечето данни и може да разкрие инциденти, които иначе биха могли да останат незабелязани.
ePolicy Orchestrator на McAfee се грижи за по-голямата част от управлението на DLP решението. Но все още има някои управленски задачи, които трябва да бъдат извършени извън оркестратора. Компанията все още трябва да интегрира напълно своята DLP оферта. Тепърва ще се знае дали ще бъде направено в бъдеще.
Symantec
Symantec е безспорен лидер в областта на DLP решенията, благодарение на непрекъснатите иновации, които прилага в продуктовото си портфолио. Компанията има най-голямата инсталирана база от всички DLP доставчици. Решението има модулен подход, като за всяка функция се изисква различен софтуерен компонент. Списъкът с компоненти е доста впечатляващ, включително Network Prevent за уеб, Network Prevent за имейл, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover и др.
По-специално, уникалният компонент Data Insight осигурява видимост на използването на неструктурирани данни, собствеността и разрешенията за достъп. Това предимство му позволява да се конкурира с продукти извън DLP арената, осигурявайки допълнителна стойност за организации, които могат да използват тази възможност.
DLP на Symantec може да се персонализира по много различни начини. Почти всяка функция има свои конфигурации, осигуряващи високо ниво на настройка на правилата. Това предимство обаче идва с цената на по-голяма сложност. Вероятно е най-сложният на пазара и може да изисква доста часове за внедряване и поддръжка.
RSA
DLP решението на EMC, RSA предотвратяване на загуба на данниви позволява да откривате и наблюдавате потока от чувствителни данни, като корпоративен IP, клиентски кредитни карти и т.н. Решението помага за обучението на крайните потребители и налагането на контроли в имейл, мрежа, телефони и т.н., за да се намалят рисковете от компрометиране на критични данни.
RSA Data Loss Prevention се отличава с предоставянето на цялостно покритие, интеграция на платформа и автоматизация на работния процес. Той предлага комбинация от класификация на съдържанието, пръстови отпечатъци, анализ на метаданни и експертни политики за идентифициране на чувствителна информация с оптимална точност.
Обширното покритие на EMC включва много рискови вектори. Не само най-често срещаните имейли, уеб и FTP, но и социални медии, USB устройства, SharePoint и много други. Неговият подход, съсредоточен върху обучението на потребителите, се стреми да генерира информираност за риска сред крайните потребители, като насочва поведението им, когато работят с чувствителни данни.
CA защита на данните
CA защита на данните (DLP предложение на Broadcom) добавя четвърти клас данни – освен в употреба, в движение, в покой – които трябва да бъдат защитени: при достъп. Неговият фокус е върху мястото, където се намират данните, как се обработват и какво е нивото им на чувствителност. Решението се стреми да намали загубата на данни и злоупотребата им, като контролира не само информацията, но и достъпа до нея.
Решението обещава на мрежовите администратори да намалят риска за техните най-критични активи, да контролират информацията в корпоративните местоположения, да смекчат високорисковите режими на комуникация и да позволят спазването на регулаторните и корпоративните политики. Той също така поставя основата за преход към облачни услуги.
Спестява ли ви милиони или ви струва милиони?
Най-доброто DLP решение наистина може да ви спести милиони. Но също така е вярно, че може да ви струва милиони, ако не изберете правилния за вашите нужди или ако не го разположите по правилния начин. Ако сте мислили, че изборът на правилното DLP решение е само въпрос на разглеждане на таблица за сравнение на функциите, грешите.
Така че бъдете готови да положите много усилия не само за да заработите DLP решение, след като го закупите, но също така да анализирате всички предложения и да изберете това, което е по-подходящо за вашата организация.