Основні функції DLP-рішень
Запобігання втраті даних (Data Loss Prevention, DLP) – це не лише одна технологія, а добре інтегрований набір технологій, які разом автоматично виявляють будь-які ситуації, де існує потенційний ризик втрати даних. Оскільки корпоративні дані зберігаються або передаються через численні інформаційні системи та рішення, покриття кожного місця, де може статися витік, крадіжка або порушення даних, є складним завданням.
Рішення DLP виконують три основні функції. Першою є визначення та виявлення конфіденційних даних. Другою є забезпечення безпечних засобів передачі даних через небезпечні канали та моніторинг виявлених даних. Це відбувається як шляхом регулярного сканування у стані спокою, так і спостереження за будь-яким доступом до даних та їх переміщенням. Таким чином, в основі сучасних рішень DLP знаходяться вдосконалені механізми моніторингу запобігання втраті даних. Ці механізми відповідальні за постійне спостереження за даними, підняття тривог та/або активацію превентивних механізмів при підозрі на несанкціонований доступ або використання.
Як працює DLP моніторинг?
Складність сучасної інформаційної системи робить DLP моніторинг складним завданням. Цими днями, дедалі більше зростає залежність від хмарних технологій, розподілених рішень та популярність віддаленої роботи. Це означає, що існує кілька шарів зберігання даних, які потрібно постійно моніторити, а також багато різних каналів потенційного доступу до даних та їх передачі. Для розуміння потрібно уявити як легко було, коли всі дані просто зберігалися на сервері компанії в локальному серверному приміщенні. Це було доступно лише через Ethernet мережі всередині компанії, і переглядалися на старих текстових терміналах без доступу до Інтернету. На противагу можна порівняти це з сьогоднішнім асортиментом різноманітних операційних систем, мобільних пристроїв, інтернет-технологій та повністю віддалених сховищ, якими керують треті сторони.
Через цю різноманітність технологій постачальники рішень DLP моніторингу повинні крок за кроком глибоко розуміти кожну базову технологію. Наприклад, моніторинг доступу та потоку даних на ноутбуці з Windows вимагає використання зовсім інших програмних хитрощів, ніж та сама дія на пристроях з macOS або Linux. І це лише невелика частина, оскільки потрібно враховувати не тільки інші операційні системи, такі як Android, Linux або iOS, але й, перш за все, переміщення даних до та з сучасних хмарних рішень, кожне з яких використовує різні технології.
Отже, немає простої відповіді на питання “як працює DLP моніторинг”. Пояснити це можна тим, що він працює по-різному для кожної апаратної платформи, кожної операційної системи та кожної супутньої технології. Чим складніше рішення, тим краще воно “зламує” саму систему, здатну спостерігати за діями користувача та системними процедурами. Наприклад, добре спроєктований агент DLP моніторингу для настільного комп’ютера повинен мати змогу помітити, коли дані, наприклад, завантажуються з хмари та зберігаються на локальному диску, а потім доступні будь-яким іншим програмним забезпеченням, не лише як результат цілеспрямованих дій користувача.
Чому DLP моніторинг настільки важливий?
Роль, яку грає DLP моніторинг в стратегіях корпоративної безпеки, є абсолютно критичною, оскільки він є останньою лінією захисту від атак. Це також один з небагатьох механізмів, які можуть розв’язати внутрішні загрози та запобігти випадковим помилкам, які можуть дорого обійтись організаціям.. Інші технології кібербезпеки діють більше як початкова оборона периметра, але якщо вони зазнають невдачі, то все залежить від DLP.
Наприклад, антивірусне програмне забезпечення або інструменти для виявлення фішингу усувають багато загроз ще до того, як вони відбуваються. Однак, досить лише однієї шкідливої програми або однієї фішингової розсилки, щоб спричинити масовий витік даних. Як тільки ця загроза досягає користувача, все залежить від DLP моніторингу – лише такі технології можуть в останній момент виявити, що користувач має доступ до конфіденційних даних і збирається поділитися ними через небезпечний канал, наприклад, електронну пошту або програмне забезпечення для обміну миттєвими повідомленнями.
Кожна корпоративна стратегія безпеки повинна включати використання DLP моніторингу як останньої лінії захисту, і це також рекомендація багатьох кібербезпекових рамок та вимога більшості стандартів регуляторної відповідності, таких як HIPAA, PCI DSS або NIST. Хоча, звичайно, жоден з таких стандартів не вказує на конкретні рішення, демонстрація того, що конфіденційні дані добре моніторяться як у стані спокою, так і в русі, є важливою для проходження аудиту безпеки.
Впровадження ефективних політик обробки даних
Початкова помилка, яка часто є однією з причин проблем з безпекою, полягає в тому, що програмне забезпечення для кібербезпеки можна придбати, впровадити та “воно просто працюватиме”. На жаль, без витрачення часу на визначення правильних політик та випадків використання, дуже легко або спроєктувати систему, яка є надто слабкою і допускає дорогіі витоки даних, або спроєктувати систему, яка є надто суворою і робить щоденну роботу неможливою. Першим кроком має бути визначення конкретних політик обробки даних за допомогою програмного забезпечення DLP для виявлення потенційно конфіденційних даних.
Тільки після того, як конфіденційні дані ідентифіковані та добре класифіковані, DLP моніторинг може виконувати свою роботу належним чином і запобігати ризикованому доступу, дозволяючи доступ, який потрібен для регулярної роботи. Наприклад, конфіденційний шматок даних не повинен копіюватися з безпечного хмарного сховища і зберігатися на диску користувача протягом року, якщо він доступний приблизно раз на тиждень. Водночас якщо користувачеві потрібен доступ до тих самих даних багато разів на день, негайне видалення їх через, наприклад, 15 секунд і вимагання від користувача проходження складного процесу для завантаження (наприклад, з використанням додаткової автентифікації та MFA) може дуже сильно заважати співробітнику.
Завданням команд кібербезпеки є:
- створення ефективних політик для різних типів даних та різних вимог до доступу;
- налаштування DLP моніторингу для підняття тривоги лише в необхідних випадках;
- відсутність ігнорування потенційно ризикованої ситуації.
Тому, хоча DLP моніторинг може бути надзвичайно ефективним інструментом у запобіганні витокам даних, як і кожне рішення з кібербезпеки, воно повинно якісно підтримуватися командою.
DLP моніторинг у реальному світі
Переваги DLP моніторингу можуть бути спочатку важко помітні, але розглянемо два приклади, де він може запобігти масовому витоку даних.
- Один з топменеджерів певної компанії отримує добре підготовлену фішингову розсилку, створену на основі місяців спостереження з боку розвідувальних сил недружньої країни. Очікувано, але жодне програмне забезпечення для захисту від фішингу не зможе зупинити такий лист. Крім того, якщо не бути повністю параноїком щодо безпеки, дуже ймовірно, що хтось менш обізнаний в технологіях може потрапити на цей гачок і вставити ключові облікові дані на зловмисну сторінку після копіювання їх із безпечного менеджера паролів. У такому випадку, DLP моніторинг зможе помітити, що конфіденційні облікові дані копіюються та вставляються на незаконну сторінку. Після цього DLP зупинить витік, зробивши це неможливим і піднявши пріоритетний сигнал тривоги, щоб команди IT-безпеки могли негайно вжити заходів.
- Ще один приклад: До одного з ключових співробітників певної компанії у відділі досліджень і розробок підійшов основний конкурент фірми та заманив співпрацею, запропонувавши великі фінансові стимули. Співробітник отримує доступ до секретної формули або алгоритму компанії та вставляє ці дані в приватну сесію браузера, де він попередньо вже увійшов до особистого облікового запису електронної пошти. DLP- моніторинг негайно виявить таку спробу, заблокує її та підніме тривогу, щоб команда IT-безпеки могла за кілька хвилин відключити співробітника від усіх ресурсів компанії, запобігаючи витоку конфіденційної інформації. Важливо зазначити, що жодне інше рішення з кібербезпеки, крім DLP, не зможе запобігти такому інциденту.
DLP – не лише моніторинг
Як вже згадувалось на початку, хоча DLP моніторинг є серцем рішень DLP, це не єдина технологія, яка може допомогти захистити конфіденційні дані. Сьогоднішні рішення DLP виходять за рамки моніторингу і впроваджують новітні технології, щоб допомогти користувачу виконувати свою роботу. Наприклад, вони використовують штучний інтелект, щоб допомогти не лише виявляти та класифікувати конфіденційні дані, але й швидко та ефективно визначати політики обробки даних.
Як приклад сучасного DLP-рішення для моніторингу кінцевих точок, Endpoint Protector. Він надає не лише надійний та високо налаштований механізм DLP моніторингу у режимі реального часу, але й включає вищезгадані технології ШІ, а також забезпечує інструментами, які дозволяють безпечно передавати конфіденційну інформацію через небезпечні канали. Завдяки Endpoint Protector, можливо побудувати останню лінію захисту для найбільш важливих і найчастіше використовуваних пристроїв – ноутбуків та настільних комп’ютерів користувачів.
