Программное обеспечение для предотвращения потери данных

для предотвращения потери данных ( DLP ) Программное обеспечение обнаруживает потенциальные утечки данных /передачу кражи данных и предотвращает их путем мониторинга. ^[1] обнаружение и блокирование конфиденциальных данных во время использования (действия конечной точки), в движении ( сетевой трафик ) и в состоянии покоя ( хранение данных ). ^[2]

Термины « потеря данных » и « утечка данных » связаны между собой и часто используются как синонимы. ^[3] Инциденты потери данных перерастают в инциденты утечки данных в случаях, когда носитель, содержащий конфиденциальную информацию, утерян и впоследствии получен неавторизованной стороной. Однако утечка данных возможна без потери данных на исходной стороне. Другими терминами, связанными с предотвращением утечки данных, являются обнаружение и предотвращение утечек информации (ILDP), предотвращение утечек информации (ILP), мониторинг и фильтрация контента (CMF), защита и контроль информации (IPC) и система предотвращения выдавливания (EPS), в отличие от система предотвращения вторжений .

Категории

Технологические , средства используемые для борьбы с инцидентами утечки данных, можно разделить на категории: стандартные меры безопасности, расширенные/интеллектуальные меры безопасности, контроль доступа и шифрование, а также специальные системы DLP, хотя только последняя категория в настоящее время считается DLP. ^[4] Распространенными методами DLP для обнаружения вредоносной или иной нежелательной активности и механического реагирования на нее являются автоматическое обнаружение и реагирование. Большинство DLP-систем полагаются на заранее определенные правила для идентификации и классификации конфиденциальной информации, что, в свою очередь, помогает системным администраторам сосредоточиться на уязвимых местах. После этого в некоторых районах могут быть установлены дополнительные меры безопасности.

Стандартные меры

Стандартные меры безопасности, такие как межсетевые экраны , системы обнаружения вторжений (IDS) и антивирусное программное обеспечение , являются общедоступными продуктами, которые защищают компьютеры от внешних и внутренних атак. ^[5] Например, использование брандмауэра предотвращает доступ посторонних лиц во внутреннюю сеть, а система обнаружения вторжений обнаруживает попытки вторжения со стороны посторонних. Внутренние атаки можно предотвратить с помощью антивирусного сканирования, обнаруживающего троянских коней , отправляющих конфиденциальную информацию , а также с помощью тонких клиентов, которые работают в архитектуре клиент-сервер, без хранения личных или конфиденциальных данных на клиентском устройстве.

Расширенные меры

В расширенных мерах безопасности используются машинного обучения и временного мышления алгоритмы для обнаружения несанкционированного доступа к данным (например, к базам данных или системам поиска информации) или ненормального обмена электронной почтой, ловушки для обнаружения авторизованного персонала со злонамеренными намерениями и проверка на основе действий (например, распознавание динамики нажатия клавиш). ) и мониторинг активности пользователей для обнаружения ненормального доступа к данным.

Назначенные DLP-системы

Специально разработанные системы обнаруживают и предотвращают несанкционированные попытки копирования или отправки конфиденциальных данных, намеренные или непреднамеренные, в основном со стороны персонала, уполномоченного на доступ к конфиденциальной информации. Чтобы классифицировать определенную информацию как конфиденциальную, они используют такие механизмы, как точное сопоставление данных, снятие отпечатков пальцев структурированных данных , статистические методы, сопоставление правил и регулярных выражений , опубликованные словари, концептуальные определения, ключевые слова и контекстную информацию, такую как источник данных. ^[6]

Типы

Сеть

Сетевые технологии (данные в движении) обычно устанавливаются в точках выхода сети вблизи периметра. Он анализирует сетевой трафик для обнаружения конфиденциальных данных, которые отправляются с нарушением политик информационной безопасности . Несколько точек управления безопасностью могут сообщать об активности для анализа центральным сервером управления. ^[3] Межсетевой экран нового поколения (NGFW) или система обнаружения вторжений (IDS) являются распространенными примерами технологий, которые можно использовать для реализации функций DLP в сети. ^[7]^[8] Возможности сетевой DLP обычно могут быть подорваны сложным злоумышленником с помощью методов маскировки данных , таких как шифрование или сжатие. ^[9]

Конечная точка

Системы конечных точек (используемые данные) работают на внутренних рабочих станциях или серверах конечных пользователей. Как и сетевые системы, технология на основе конечных точек может охватывать как внутренние, так и внешние коммуникации. Поэтому его можно использовать для управления потоком информации между группами или типами пользователей (например, « Китайские стены »). Они также могут контролировать электронную почту и обмен мгновенными сообщениями до того, как они попадут в корпоративный архив, так что заблокированное сообщение (то есть то, которое никогда не отправлялось и, следовательно, не подпадает под действие правил хранения) не будет идентифицировано в последующей ситуации юридического раскрытия. Преимущество оконечных систем заключается в том, что они могут отслеживать и контролировать доступ к физическим устройствам (например, мобильным устройствам с возможностью хранения данных), а в некоторых случаях могут получать доступ к информации до того, как она будет зашифрована. Конечные системы также имеют доступ к информации, необходимой для контекстной классификации; например, источник или автор, генерирующий контент. Некоторые системы на базе конечных точек предоставляют элементы управления приложениями, позволяющие блокировать попытки передачи конфиденциальной информации и обеспечивать немедленную обратную связь с пользователем. Они должны быть установлены на каждой рабочей станции в сети (обычно через DLP Agent ), нельзя использовать на мобильных устройствах (например, сотовых телефонах и КПК) или там, где их практически невозможно установить (например, на рабочей станции в интернет-кафе ). ^[10]

Облако

Облако для теперь содержит много критически важных данных, поскольку организации переходят на облачные технологии ускорения совместной работы виртуальных групп. Данные, находящиеся в облаке, также нуждаются в защите, поскольку они подвержены кибератакам , случайной утечке и инсайдерским угрозам. Cloud DLP отслеживает и проверяет данные, одновременно обеспечивая контроль доступа и использования данных с помощью политик. Это обеспечивает лучшую сквозную видимость всех данных, хранящихся в облаке. ^[11]

Идентификация данных

DLP включает в себя методы идентификации конфиденциальной или чувствительной информации. Идентификация данных, которую иногда путают с обнаружением, представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать.

Данные подразделяются на структурированные и неструктурированные. Структурированные данные хранятся в фиксированных полях внутри файла, например электронной таблицы, тогда как неструктурированные данные относятся к тексту произвольной формы или медиафайлам в текстовых документах, файлах PDF и видео. ^[12] По оценкам, 80% всех данных неструктурированы, а 20% структурированы. ^[13]

Защита от потери данных (DLP)

Иногда распространитель данных непреднамеренно или намеренно передает конфиденциальные данные одной или нескольким третьим лицам или использует их самостоятельно авторизованным образом. Спустя некоторое время часть данных обнаруживается в неавторизованном месте (например, в Интернете или на ноутбуке пользователя). Дистрибьютор должен затем выяснить источник потери.

Данные в состоянии покоя

« Хранящиеся данные » конкретно относятся к информации, которая не перемещается, т. е. существует в базе данных или общем файловом ресурсе. Эта информация вызывает большую обеспокоенность у предприятий и государственных учреждений просто потому, что чем дольше данные остаются неиспользованными в хранилище, тем больше вероятность того, что они могут быть извлечены неавторизованными лицами. Защита таких данных включает в себя такие методы, как контроль доступа, шифрование данных и хранения данных . политики ^[3]

Используемые данные

« Используемые данные » относятся к данным, с которыми пользователь в данный момент взаимодействует. Системы DLP, защищающие используемые данные, могут отслеживать и сигнализировать о несанкционированных действиях. ^[3] Эти действия включают в себя захват экрана, копирование/вставку, печать и операции по факсу, связанные с конфиденциальными данными. Это могут быть намеренные или непреднамеренные попытки передать конфиденциальные данные по каналам связи.

Данные в движении

« Данные в движении » — это данные, которые проходят через сеть к конечной точке. Сети могут быть внутренними и внешними. Системы DLP, защищающие данные в движении, отслеживают конфиденциальные данные, перемещающиеся по сети по различным каналам связи. ^[3]

См. также

Ссылки

^ Хейс, Рид (2007), «Анализ данных», Безопасность розничной торговли и предотвращение потерь , Palgrave Macmillan UK, стр. 137–143, doi : 10.1057/9780230598546_9 , ISBN 978-1-349-28260-9
^ «Что такое предотвращение потери данных (DLP)? Определение предотвращения потери данных» . Цифровой страж . 01.10.2020 . Проверено 5 декабря 2020 г.
^ Jump up to: ^а ^б ^с ^д ^и Асаф Шабтай, Юваль Елович, Лиор Рокач, Обзор решений по обнаружению и предотвращению утечек данных , Springer-Verlag New York Incorporated, 2012 г.
^ Фуа, К., Защита организаций от утечки персональных данных , Компьютерное мошенничество и безопасность, 1:13-18, 2009 г.
^ Плакат блога (13 мая 2021 г.). «Стандартные и расширенные меры предотвращения потери данных (DLP): в чем разница» . Logix Consulting Услуги по управлению ИТ-поддержкой Сиэтл . Проверено 28 августа 2022 г.
^ Уэлле, Э., Магический квадрант для предотвращения потери данных с учетом содержимого, Технический отчет, RA4 06242010, Основное исследование Gartner RAS, 2012 г.
^ «Что такое межсетевой экран нового поколения (NGFW)?» . Циско . 02.01.2022. Архивировано из оригинала 5 ноября 2022 г. Проверено 2 января 2023 г.
^ «Что такое предотвращение потери данных (DLP)? [Руководство для начинающих] | CrowdStrike» . КраудСтрайк . 27 сентября 2022 г. Архивировано из оригинала 06 декабря 2022 г. Проверено 2 января 2023 г.
^ Зельцер, Ларри (18 марта 2019 г.). «3 способа мониторинга зашифрованного сетевого трафика на предмет вредоносной активности» . ЦСО онлайн . Архивировано из оригинала 20 сентября 2022 г. Проверено 2 января 2023 г.
^ «Групповой тест: DLP» (PDF) . Журнал СК . Март 2020 года . Проверено 7 сентября 2021 г.
^ Паскье, Томас; Бэкон, Жан; Сингх, Джатиндер; Эйерс, Дэвид (6 июня 2016 г.). «Информационно-ориентированный контроль доступа для облачных вычислений» . Материалы 21-го симпозиума ACM по моделям и технологиям контроля доступа . САКМАТ '16. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 81–88. дои : 10.1145/2914642.2914662 . ISBN 978-1-4503-3802-8 . S2CID 316676 .
^ «PC Mag — Неструктурированные данные» . Компания «Компьютерный язык», 2024 г. Проверено 14 января 2024 г.
^ Брайан Э. Берк, «Опрос по защите и контролю информации: тенденции предотвращения потери данных и шифрования», IDC, май 2008 г.

[1] Хейс, Рид (2007), «Анализ данных», Безопасность розничной торговли и предотвращение потерь , Palgrave Macmillan UK, стр. 137–143, doi : 10.1057/9780230598546_9 , ISBN 978-1-349-28260-9

[2] «Что такое предотвращение потери данных (DLP)? Определение предотвращения потери данных» . Цифровой страж . 01.10.2020 . Проверено 5 декабря 2020 г.

[dlpbook-3] Jump up to: ^а ^б ^с ^д ^и Асаф Шабтай, Юваль Елович, Лиор Рокач, Обзор решений по обнаружению и предотвращению утечек данных , Springer-Verlag New York Incorporated, 2012 г.

[Phua-4] Фуа, К., Защита организаций от утечки персональных данных , Компьютерное мошенничество и безопасность, 1:13-18, 2009 г.

[5] Плакат блога (13 мая 2021 г.). «Стандартные и расширенные меры предотвращения потери данных (DLP): в чем разница» . Logix Consulting Услуги по управлению ИТ-поддержкой Сиэтл . Проверено 28 августа 2022 г.

[Ouellet-6] Уэлле, Э., Магический квадрант для предотвращения потери данных с учетом содержимого, Технический отчет, RA4 06242010, Основное исследование Gartner RAS, 2012 г.

[7] «Что такое межсетевой экран нового поколения (NGFW)?» . Циско . 02.01.2022. Архивировано из оригинала 5 ноября 2022 г. Проверено 2 января 2023 г.

[8] «Что такое предотвращение потери данных (DLP)? [Руководство для начинающих] | CrowdStrike» . КраудСтрайк . 27 сентября 2022 г. Архивировано из оригинала 06 декабря 2022 г. Проверено 2 января 2023 г.

[9] Зельцер, Ларри (18 марта 2019 г.). «3 способа мониторинга зашифрованного сетевого трафика на предмет вредоносной активности» . ЦСО онлайн . Архивировано из оригинала 20 сентября 2022 г. Проверено 2 января 2023 г.

[10] «Групповой тест: DLP» (PDF) . Журнал СК . Март 2020 года . Проверено 7 сентября 2021 г.

[11] Паскье, Томас; Бэкон, Жан; Сингх, Джатиндер; Эйерс, Дэвид (6 июня 2016 г.). «Информационно-ориентированный контроль доступа для облачных вычислений» . Материалы 21-го симпозиума ACM по моделям и технологиям контроля доступа . САКМАТ '16. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 81–88. дои : 10.1145/2914642.2914662 . ISBN 978-1-4503-3802-8 . S2CID 316676 .

[UD_1-12] «PC Mag — Неструктурированные данные» . Компания «Компьютерный язык», 2024 г. Проверено 14 января 2024 г.

[13] Брайан Э. Берк, «Опрос по защите и контролю информации: тенденции предотвращения потери данных и шифрования», IDC, май 2008 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

v т и вредоносного ПО Темы
Инфекционное вредоносное ПО	Сравнение компьютерных вирусов Компьютерный вирус Компьютерный червь Список компьютерных червей Хронология компьютерных вирусов и червей
Сокрытие	Черный ход Кликджекинг Человек в браузере Человек посередине Руткит Троянский конь Зомби-компьютер
Вредоносное ПО для получения прибыли	Рекламное ПО Ботнет Криминальное ПО Флисовая посуда Захват формы Мошенническая звонилка Инфокрад Регистрация нажатий клавиш Мальбот Программное обеспечение, нарушающее конфиденциальность программы-вымогатели Мошенническое программное обеспечение безопасности пугающие программы Шпионское ПО Веб-угрозы
По операционной системе	вредоносное ПО для Android Классические вирусы Mac OS вредоносное ПО для iOS вредоносное ПО для Linux вредоносное ПО для MacOS Макровирус Мобильное вредоносное ПО Вирусы для Palm OS Вирусы HyperCard
Защита	Анти-кейлоггер Антивирусное программное обеспечение Безопасность браузера Программное обеспечение для предотвращения потери данных Оборонительные вычисления Брандмауэр Интернет-безопасность Система обнаружения вторжений Мобильная безопасность Сетевая безопасность
Контрмеры	Компьютерное и сетевое наблюдение Приманка Операция: Жареный бот