目錄
在這篇文章中,您將學習:
什麼是DLP,它如何工作?
趨勢推動數據丟失預防的採用
如何制定數據丟失預防策略
實施DLP的最佳做法
DLP解決方案的類型
什麼是DLP軟件解決方案
哪種DLP解決方案適合您
流行的DLP工具
評估DLP解決方案有效性的指標
1、什麼是DLP,它如何工作?
數據丟失防護(DLP)是一種旨在保護業務信息的方法。它可以防止最終用戶將關鍵信息移出網絡。 DLP還指的是使網絡管理員可以監視最終用戶訪問和共享的數據的工具。
您可以使用DLP解決方案對數據安全性進行分類和劃分優先級。您還可以使用這些解決方案來確保訪問策略滿足法規要求,包括HIPAA,GDPR和PCI-DSS。 DLP解決方案還可以超越簡單的檢測,提供警報,執行加密和隔離數據的功能。
DLP解決方案中常見的其他功能包括:
監視-工具可提供對數據和系統訪問的可見性。
過濾-工具可以過濾數據流以限制可疑或未知活動。
報告-工具提供日誌記錄和報告,有助於事件響應和審覈。
分析-工具可以識別漏洞和可疑行爲,併爲安全團隊提供法證背景。
DLP解決方案在各種用例中可能會有所幫助,
包括:
安全策略實施-DLP工具可以幫助您識別與策略的偏差,從而更容易糾正錯誤的配置。
符合合規標準-DLP工具可以將當前配置與合規標準進行比較,並提供所採取措施的證明。
增強數據可見性-DLP工具可以提供整個系統的可見性,幫助您確保無論數據存儲在何處都安全。
2、推動DLP政策採用的趨勢
CISO角色的增長-隨着組織任命首席信息安全官(CISO),他們對泄漏負責,並使用DLP策略作爲獲取可見性和報告組織數據的工具。
不斷增長的合規性要求-一直引入新的法規,例如歐洲的GDPR和紐約州的NYDFS網絡安全法規。 DLP政策可以幫助遵守這些新法規。
還有更多地方可以保護您的數據-當今的企業使用難以監控的工具,例如供應鏈網絡和雲存儲。這使數據保護更加困難。準確瞭解哪些數據跨越了組織邊界對於防止濫用至關重要。
數據泄露是一個日益增長的風險-敏感數據是攻擊者的誘人目標。各種規模的組織嘗試和成功破壞的數量正在迅速增長。
內部人員威脅-惡意內部人員,特權帳戶遭到破壞或意外數據共享造成的數據丟失越來越多。
被盜數據的價值更高-Dark Web允許對手購買和出售被盜信息。數據盜竊是一項有利可圖的業務。
有更多數據需要竊取-敏感數據的範圍和定義隨時間增長。敏感數據現在涵蓋無形資產,例如業務方法和定價模型。
安全人才短缺-許多企業發現很難擔負起與安全相關的角色。在ESG和ISSA最近的調查中,受調查的組織中有43%受人才短缺的影響。這使像DLP這樣的自動化工具更具吸引力。
3、建立數據丟失預防策略—如何制定DLP策略
組織中的個人都擁有公司信息,可以共享此信息,這可能導致意外或有意的數據丟失。當今計算機系統的分佈式特性使問題更加嚴重。
可以從遠程位置和通過雲服務訪問現代存儲;筆記本電腦和移動電話包含敏感信息,這些端點通常容易受到攻擊。確保數據安全變得越來越困難,因此防止數據丟失的策略變得如此重要。
實施數據丟失預防政策的3個原因
1.合規
企業必須遵守政府強制執行的強制性合規標準(例如HIPAA,SOX,PCI DSS)。這些標準通常規定了企業應如何保護個人身份信息(PII)和其他敏感數據DLP策略是合規性的基本第一步,並且大多數DLP工具都是爲滿足通用標準的要求而構建的。
2.知識產權和無形資產
組織可能具有商業祕密,其他戰略專有信息或無形資產(例如客戶列表,業務策略等)。此類信息的丟失可能會造成極大破壞,因此,攻擊者和惡意內部人員直接將其作爲攻擊目標。 DLP策略可以幫助識別和保護關鍵信息資產。
3.數據可見性
實施DLP策略可以洞察涉衆如何使用數據。爲了保護敏感信息,組織必須首先知道它的存在,存在的位置,使用者和用途。
建立成功的DLP政策的建議
分類和解釋數據-通過評估風險因素及其易受攻擊性,確定需要保護的信息。投資於數據的分類和解釋,因爲這是實施合適的數據保護策略的基礎。
分配角色-明確定義參與數據丟失預防策略的每個人的角色。
從保護最敏感的數據開始-從選擇要保護的特定類型的信息開始,這將給企業帶來最大的風險。
儘可能實現自動化-越多的DLP流程自動化,您就可以在組織中進行廣泛部署。手動DLP流程的範圍和覆蓋的數據量固有地受到限制。
使用異常檢測-一些現代的DLP工具使用機器學習和行爲分析,而不是簡單的統計分析和關聯規則,來識別異常用戶行爲。每個用戶和一組用戶都以行爲基線爲模型,從而可以準確檢測可能代表惡意意圖的數據操作。
讓組織中的領導者參與進來-管理是使DLP發揮作用的關鍵,因爲如果無法在組織級別實施策略,那麼它們將毫無價值。
對利益相關者進行教育-僅制定DLP政策是不夠的。投資使數據的利益相關者和用戶瞭解該策略,其重要性以及保護組織數據所需採取的措施。
記錄DLP策略-許多遵從性標準要求記錄DLP策略。它還在個人和組織級別上提供了關於要求什麼以及如何執行策略的清晰說明。
建立指標-使用諸如誤報率,事件數量和平均響應時間之類的指標來衡量DLP有效性。
不要保存不必要的數據-企業僅應使用,保存和存儲必不可少的信息。如果不需要信息,請將其刪除;從未存儲的數據不會丟失。
實施DLP的4種最佳實踐
1.數據分類對於DLP執行必不可少
在實施DLP解決方案之前,請特別注意敏感信息的性質,並確定敏感信息如何從一個系統流到另一個系統。確定信息如何傳遞給其使用者-這將揭示傳輸路徑和數據存儲庫。使用標籤或類別(例如“員工數據”,“知識產權”和“財務數據”)對敏感數據進行分類。
確保調查並記錄所有數據出口點。組織過程可能未記錄在案,並且並非所有數據移動都是例行實踐的結果。
2.建立政策支持
在策略制定的早期階段就讓IT和業務人員參與。該過程的這一階段應包括確定:
已選出的數據類別
需要採取措施打擊瀆職行爲
DLP戰略的未來發展
如果發生異常,需要採取的步驟。
在實施DLP策略之前,至關重要的是建立事件管理流程,並確保它們適用於每種數據類別。
3.如何開始
通過監視組織數據來開始DLP實施。這使您可以微調和預測DLP對組織文化和運營的影響。通過跳槍並過早阻止敏感信息,您可能會損害中央業務活動。
您會發現DLP提供了很多信息,例如所有敏感信息的傳輸路徑和位置,這些信息可能會令人難以理解。您可能會嘗試立即解決所有數據保護問題,但這不是一個好方法。
良好的DLP實施應該從低落的果實開始,建立規則,並確保不斷地考慮和改進它們。讓所有利益相關者參與其中,並確保他們提供有關當前DLP策略中未列出或當前未受保護的新數據類型,格式或傳輸路徑的反饋。
4.知道DLP技術有其侷限性
加密-DLP工具只能檢查最初解密的加密信息。如果用戶使用DLP系統操作員無法使用的密鑰加密數據,則該信息不可見。
富媒體-DLP工具在處理諸如圖像和視頻之類的富媒體時通常無用,因爲它們無法解析和分類其內容。
移動-DLP解決方案無法跟蹤所有類型的現代移動通信,例如,從用戶的專用移動設備發送的消息。
4、DLP分類?
DLP解決方案主要有三種:
網絡DLP-附加到公司網絡的數據點。網絡DLP跟蹤,監視和報告流經網絡上使用的端口和協議的所有信息。
存儲 DLP-提供對員工保留和共享的信息的控制,並在外部人員可以輕鬆獲得其信息的情況下提醒企業。對於監視存儲在雲中的數據很有用。
終端DLP(組織內端點的數量激增,例如工作站,筆記本電腦,移動電話和平板電腦)以及獨立存儲設備(如USB和外部硬盤驅動器)。端點(尤其是移動端點)特別容易受到攻擊,並可能導致數據泄漏。 Endpoint DLP提供了安裝在公司員工使用的所有工作站和設備上的代理,以監視和阻止敏感信息的傳輸。
什麼是DLP軟件?
數據丟失防護(DLP)軟件對企業的敏感和機密信息進行分類,並識別違反政策的情況。 DLP軟件通常預先構建了適合於符合GDPR,HIPAA或PCI-DSS等標準的策略。
一旦DLP軟件發現違反政策的行爲,便會採取保護措施,例如警報和數據加密。 DLP軟件還監視端點移動,並保護靜止,運動和使用中的數據。
5、哪種DLP解決方案適合您的組織?
網絡DLP
保護組織的網絡流程,例如Web應用程序,電子郵件和FTP。
駐留在公司的網絡中,並在整個網絡中移動時監視數據。
維護一個數據庫,該數據庫提供有關正在使用哪些數據以及誰在使用數據的詳細信息。
提供對網絡中傳輸中的所有數據的可見性。
存儲DLP
提供有關組織網絡用戶存儲和共享的文件的信息。
啓用查看共享和存儲在網絡上的敏感文件的功能。
提供對通過本地存儲設備和基於雲的存儲存儲的信息的可見性。
終端DLP
監視工作站,服務器和移動設備,例如筆記本電腦,移動電話,外部硬盤驅動器和USB磁盤。
作爲代理安裝在端點設備上,可防止數據從端點泄漏。
提供對存儲在物理上位於組織內部和外部的端點上的數據的可見性。
6、流行的DLP工具
賽門鐵克DLP
Symantec DLP使企業能夠查看組織中信息的保存方式和位置。它是一個可擴展的軟件套件,可以監視移動,雲和多個端點。即使員工處於離線狀態,該系統也有效。
邁克菲DLP
McAfee的DLP解決方案(Intel Security的一部分)保護知識產權,並通過保護敏感信息來幫助合規性工作。監控本地,雲中或端點上的數據。
Check Point DLP
Check Point DLP對企業和個人進行了培訓,使他們可以有效而迅速地採取行動以防止數據丟失。它提供了一個集中式管理控制檯,並提供了預配置的規則,以便於實施。
數字衛士DLP
Digital Guardian DLP與Mac,Windows和Linux端點兼容,並且可以管理大量工作站。可作爲基於雲的系統或本地系統使用。
7、評估DLP解決方案有效性的6項指標
像任何複雜的關鍵任務系統一樣,評估您的DLP解決方案並衡量您從中獲得多少價值以及該價值是隨着時間的推移逐漸提高還是下降是至關重要的。這裏有六個簡單的指標,可以幫助您發現DLP實施或基礎DLP策略的問題。
1.政策例外的百分比
可以將異常解釋爲通過DLP工具授予個人或組有關數據訪問或傳輸的一次性許可。異常表示組織數據在DLP策略之外使用,並且可能易受攻擊。監視例外數量(佔所有與數據相關的事件的百分比),以瞭解DLP策略的實施程度。
2.誤報率
DLP系統會生成大量警報,其中許多警報並非真正的安全事件,這給安全團隊造成了負擔。所有警報的誤報百分比可衡量DLP工具在過濾掉不相關警報和識別實際數據問題方面的有效性。
3.警報響應時間
衡量響應DLP警報所需的平均時間(不包括誤報)。在許多情況下,由於警報數量衆多,安全團隊可能會晚響應關鍵的DLP警報,甚至完全忽略某些警報。測量警報響應時間可以幫助您確定DLP實施或流程中的問題,這些問題使安全人員無法響應關鍵數據警報。
4.非託管設備的數量,類型和存儲大小
您必須跟蹤包含敏感信息的非託管設備的數量。此類設備可能包括端點,服務器,可移動存儲和雲存儲(取決於DLP系統管理的內容)。所有這些都可以充當敏感信息的出發點。您的DLP實施應使非託管設備的數量保持最少,如果數量增加,請考慮切換到可以管理更多設備的解決方案。
5.指紋數據庫的百分比
DLP解決方案創建關係數據庫的數字指紋,從而可以進行篡改檢測,叛逆者追蹤(識別泄漏源),並驗證數據的完整性。測量在任何給定時間被指紋識別的數據庫的百分比,以確保您對敏感數據源有可靠的控制。
6.數據分類成功率
任何Data Loss Prevention解決方案中的初始操作都是數據分類。數據分類可幫助您識別和隔離敏感信息,並瞭解其上下文。 DLP解決方案具有用於自動或半自動分類數據的各種技術。測量錯誤分類的百分比,以查看DLP可能留下多少敏感數據。
8、使用下一代安全分析對DLP進行補充
DLP解決方案非常適合監視數據流並防禦已知的威脅模式。但是,惡意內部人員和老練攻擊者可能以與任何已知模式都不匹配或無法被DLP安全規則捕獲的方式採取行動。一類稱爲用戶和事件行爲分析(UEBA)的安全工具可以提供幫助。
UEBA工具爲單個用戶,應用程序,網絡設備,IoT設備或其中任何一個的對等組建立行爲基準。通過機器學習,他們可以識別特定實體或實體組的異常活動,即使該活動與任何已知的威脅或模式都不匹配。這可以作爲傳統DLP解決方案的補充,向安全團隊警告已超出DLP規則的數據相關事件。
9、原文
