What is Data Loss Prevention (DLP)?
数据丢失预防(DLP)是由安全组织实施的一种策略,用于防止安全数据的泄漏和潜在的恶意泄露. 根据信息系统审计与控制协会(ISACA), 实现强大的DLP解决方案对于检测和防止未经授权的DLP解决方案至关重要 data leakage 和共享,从而保护敏感信息.
该组织还表示,了解数据存在的位置非常重要, 以及在何处实现或增强适用的安全性和隐私控制的功能区域的指示.
Types of Data Loss Prevention
- Endpoint DLP 主要关注监视网络端点设备. 它使安全团队能够指定他们可能认为敏感的数据,从而制定阻止特定数据离开端点的策略.
- Network DLP 放大并查看通过内部和外部基于云的网络传输的数据. 在实施网络DLP策略时, 为了避免潜在的错误配置,有必要在更深层次上理解网络协议.
- Cloud DLP 监控进出云的数据, 因为它处于一个特别危险的位置,很容易被恶意窃取, 一旦攻击者攻破了网络. A security operations center (SOC) 自动化大部分数据泄漏发现以及响应性DLP协议以应对潜在泄露是明智的吗.
为什么数据丢失防护很重要?
DLP之所以重要,原因有很多,其中最重要的是关乎公司的底线. 利益相关者和/或股东有既定的经济利益,不希望看到公司的关键数据被盗,或者被勒索赎金(这会花费很多钱),或者永远影响企业的声誉(导致客户信任的侵蚀,并在很短的时间内损失很多钱)。.
阻止攻击者破坏系统或网络说起来容易做起来难, especially in the age of cloud security and operations. 有效的DLP解决方案可以解决两种主要类型的违法者:内部和外部. 恶意行为者当然也是企业的雇员, 但通常情况下,当内部罪犯是数据泄露的来源时, 它不知不觉地发生在那个源的一部分.
These days, 几乎每个人都知道,敏感信息通过云传输,并多次返回, many times. That’s just how we live today. More often than not, though, 我们不了解数据是如何在组织中传输或以其他方式使用的.
Additionally, 这些组织可能没有意识到某些通信或工作流趋势可能使组织处于不必要的风险中. For example, 企业的财务部门可能会参与一个工作流程,通过电子邮件或即时消息等公共通信渠道传输极其敏感的数据.
外部攻击者通常清楚地知道他们在做什么:试图突破公司安全组织的防御,窃取敏感数据,然后——如前所述——保留它 ransom 或者把它卖给出价最高的人 dark web.
For these key reasons, DLP解决方案能够检测数据何时何地离开和进入网络,并帮助分析师优先保护可能比其他数据更敏感的数据,这一点至关重要.
Causes of Data Leakage
让我们来看看静态或传输中的数据可能从端点“泄漏”的一些主要原因, systems, 和网络,落入坏人之手.
- Honest mistakes: As we referenced above, 公司员工也可能是违规者, 不知不觉地以这样或那样的方式使数据易受攻击, 并最终让它泄露到攻击者手中. 这可能是成为一个不知情的受害者的结果 phishing 活动,重复使用密码或使用简单的密码,或授予内部 network access 供应链合作伙伴或外部供应商.
- Malware/ransomware: Attackers could have delivered malware 几个月前被设计用来利用一个网络漏洞——而且侥幸没有被发现. In this scenario, 他们有时间挑选他们想要泄露的数据, 并索要赎金. And keep in mind that it might not end there; increasingly attackers are dipping into double-extortion strategies 因此,他们可以尝试为他们的努力提取尽可能多的钱.
- Maintaining old data不管是有意的还是无意的——如果不是的话, 归档的数据应该作为离线备份存储——维护那些已经过时的数据可能是数据泄露的潜在来源,也是一个大漏洞. 即使数据对安全组织或公司不再有用, 这对坏人来说还是很有用的. 如果攻击者设法获得对端点的访问权限, system, or network, 存档的数据——比如旧的凭证或过去包含敏感信息的电子邮件——可能正是他们实施攻击所需要的.
- Cloud misconfigurations这也可以归因于人为错误, but if critical operations are, well, 在配置错误的云基础设施上运行——因此本质上是有缺陷的, 然后,这些数据就会暴露出来,因此可能会“泄露”到多个地方,比如面向公众的互联网或第三方服务器.
数据丢失预防解决方案的好处是什么?
DLP解决方案的好处是显而易见的,并且可以更好地保护数据免受意外暴露和盗窃. 让我们来分析一些关键的好处,以及它们是如何具体影响网络的.
Increase Visibility
监视网络端点设备、分析流量和可疑活动交互的能力将加速整个环境的可见性,并改善安全状况. 监控网络的数据丢失也可以帮助消除以前看不见的盲点-内部和连接到网络的设备之间-只是等待被利用.
Harden Networks with IAM Solutions
身份和访问管理(IAM) is critical for a DLP solution and network security in general. IAM有助于确保正确的人访问正确的端点或网络系统. 通过在关键系统和端点上建立IAM策略, 网络边界变得更难攻破, 这反过来又能帮助企业保持下去 compliance 具有内部和外部监管标准.
提高数据的组织和分类标准
数据分类应该尽可能简单和直接. 让我们来看一个分层结构的例子:
- Level 1这是供公众使用的数据,可以自由披露.
- Level 2这是内部数据,不对外披露.
- Level 3这是敏感的内部数据,如果被披露,可能会对公司产生负面影响.
- Level 4:这是高度敏感的公司、员工和客户数据.
Based on this classification, 很明显,在错误的级别存储错误的数据, or classification, 可能有潜在的灾难性影响. 如果存在不同分类级别的数据必须驻留在同一服务器上的情况, 混合数据应使用最高的分类等级进行标记和分类,从而进行相应的保护. 自动化这个过程也将有助于确保它的效率和速度.
数据丢失预防最佳实践
实现DLP解决方案的最佳实践将有助于将其校准为特定的环境. According to ISACA,有许多最佳实践可以帮助确保DLP战略的成功部署:
People
- 不要让敏感数据无人看管.
- 不允许将敏感数据复制到可移动媒体上.
- 提供对敏感信息的仅视图访问.
Management
- 实现数据管理生命周期来组织数据并管理存储和使用.
- 定期更新数据风险概况,以了解新的威胁.
- 标准化端点,使部署更易于管理.
Deployment
- 在优先级波中部署DLP以实现快速获胜.
- 从处理误报的最小基数开始, 帮助识别关键或敏感数据, and fine-tune DLP policies.
- 在进行全面测试之前,先在一个小的、可控的单元中进行测试.
IT-restrictive controls
- 不允许未经授权的设备进入网络.
- 包含个人身份信息(PII)的块文件.
- 以所需的频率(或按需)执行DLP发现扫描,以审计和维护对安全状态的了解.
Product selection
- 检查DLP产品,看它是否支持企业的数据格式.
- 扫描数据存储的敏感信息,如有必要,采取补救措施.
- 使用DLP工具自动查找未加密的敏感资料,将资料加密(Data Encryption),并根据企业的策略删除该信息或执行其他补救.