Viktigheten av Databeskyttelse: En Dypdykk i Data Loss Prevention (DLP)
De mest verdifulle aktivaene i en bedrift er ofte de vanskeligste å sikre. Dette gjelder spesielt for data, som er selve livsnerven i enhver virksomhet. Heldigvis finnes det en hel industri dedikert til å hjelpe selskaper med å forhindre datatap, ledet av leverandører som spesialiserer seg på Data Loss Prevention (DLP) teknologi.
DLP-teknologier har to hovedfunksjoner:
- Identifisering av sensitiv informasjon som krever beskyttelse.
- Forebygging av tap av slik informasjon.
Dataene som beskyttes kan deles inn i tre hovedkategorier:
- Data i bruk
- Data i transitt
- Data i hvile
Data i bruk refererer til informasjon som aktivt benyttes, typisk i RAM, hurtigminne eller CPU-registre.
Data i transitt omfatter informasjon som overføres via et nettverk, enten et internt sikkert nettverk eller et usikret offentlig nettverk (som internett eller telefonnett).
Data i hvile er informasjon som lagres i inaktiv tilstand, for eksempel i en database, et filsystem eller en annen form for lagringsinfrastruktur.
Når det gjelder dekningsområde, kan DLP-løsninger klassifiseres i to hovedkategorier:
- Virksomhets-DLP (EDLP)
- Integrert DLP (IDLP)
EDLP-løsninger dekker hele spekteret av lekkasjevektorer, mens IDLP-løsninger fokuserer på en enkelt protokoll eller en av de tre datatypene. Eksempler på IDLP-løsninger inkluderer nettsikkerhet, e-postkryptering og enhetskontroll.
Hva kjennetegner en effektiv DLP-løsning?
Det finnes ingen universalløsning innen DLP. Den ideelle løsningen avhenger av en rekke faktorer, inkludert bedriftens størrelse, budsjett, type sensitiv informasjon, nettverksstruktur og tekniske krav. Det krever grundig undersøkelse og analyse for å finne den optimale tilnærmingen for din virksomhet, herunder valg av deteksjonsmetoder og løsningsarkitektur.
En ideell DLP-løsning bør balansere følgende aspekter:
- Omfattende dekning: DLP-komponenter må overvåke all utgående trafikk for å forhindre lekkasjer via e-post, nett og FTP. Løsningen bør også beskytte lagret data på tvers av alle lagringsressurser og endepunkter.
- Brukervennlig administrasjonskonsoll: Enkel administrasjon er avgjørende for konfigurering, vedlikehold, policyhåndtering, rapportering, hendelseshåndtering, risikodeteksjon og hendelseskorrelasjon. En sentralisert administrasjonskonsoll er nødvendig for å unngå unødvendig risiko.
- Hendelseshåndtering for samsvar: Effektiv håndtering av datataphendelser er kritisk. Selv om datatap kan være uunngåelig, kan måten hendelsen håndteres på utgjøre forskjellen mellom en kostbar bot og en mindre konsekvens.
- Nøyaktig deteksjonsmetode: Nøyaktigheten i deteksjonsmetoder er det som skiller gode løsninger fra dårlige. DLP-teknologier bruker ofte mønstertilpasning (regulære uttrykk), som ofte er unøyaktig og resulterer i mange falske positive hendelser. Gode løsninger bør bruke flere deteksjonsmetoder i tillegg til mønstertilpasning for økt presisjon.
Hovedtilnærminger til DLP
Etter hvert som DLP-løsninger utviklet seg, tilnærmet leverandører seg markedet med komponenter designet for å dekke ulike deler av virksomhetens infrastruktur. Situasjonen har endret seg over tid, og ulike leverandører følger nå forskjellige tilnærminger, som kan deles inn i to hovedkategorier:
- Tradisjonell DLP
- Agent-basert DLP
Tradisjonell DLP, tilbudt av leverandører som Forcepoint, McAfee og Symantec, tar en flerdimensjonal tilnærming og tilbyr dekning for nettverk, lagringsinfrastruktur, endepunkter og skyen. Denne tilnærmingen har vært suksessrik og har formet dagens DLP-marked.
Agent-basert DLP (ADLP), også kjent som Endpoint DLP, bruker agenter på kjernenivå som overvåker all bruker- og systemaktivitet. Løsningene som tilhører denne kategorien er kjent for sin detaljerte overvåkning.
Valget av tilnærming avhenger av organisasjonens spesifikke behov, type data som skal beskyttes, og årsakene til databeskyttelse. For eksempel, organisasjoner innen helse- og finanssektoren er pålagt å bruke DLP for å overholde lover og regler. I slike tilfeller må løsningen være i stand til å oppdage personlig og helsemessig informasjon på tvers av flere kanaler og formater.
Organisasjoner som primært ønsker å beskytte intellektuell eiendom, krever mer spesialiserte deteksjonsmetoder. Nøyaktig gjenkjenning og beskyttelse av sensitiv informasjon kan være utfordrende, og tradisjonelle DLP-løsninger tilbyr ikke alltid de nødvendige verktøyene for denne jobben.
DLP-arkitektur og løsningskompleksitet
DLP-teknologier er komplekse og krever input fra flere områder, inkludert web, e-post, databaser, nettverk, sikkerhet, infrastruktur og lagring. Implementeringen av en DLP-løsning kan også påvirke andre avdelinger, som juridisk, HR og risikostyring. I tillegg kan DLP-løsninger være vanskelige å distribuere, konfigurere og administrere.
Tradisjonelle DLP-løsninger kan legge til ekstra kompleksitet da de krever flere enheter og programvare for å fungere. Dette kan inkludere apparater (virtuelle eller fysiske) og servere. Integrasjonen av disse enhetene i nettverksstrukturen, inkludert overvåkning av utgående trafikk og e-postblokkering, krever nøye planlegging og implementering. Når integrasjonen er fullført, oppstår et annet nivå av kompleksitet i administrasjonen, som varierer avhengig av leverandør.
Agent-baserte DLP-løsninger er ofte mindre komplekse da de ikke krever like mye nettverksintegrasjon. Imidlertid samhandler disse løsningene direkte med operativsystemet på kjernenivå, noe som kan kreve finjustering for å unngå konflikter med OS og andre applikasjoner.
Oversikt over noen av de mest kjente DLP-leverandørene:
Acronis DeviceLock
Acronis DeviceLock er en omfattende endepunktsløsning som beskytter sensitive data ved å kontrollere informasjonsoperasjoner. Den forhindrer datatap fra interne trusler eller ansattes uaktsomhet ved å blokkere uautoriserte dataoverføringsforsøk. Løsningen gir innsikt i databeskyttelse, datastrøm og brukeratferd, og reduserer kompleksiteten ved rapportering. Acronis DeviceLock overholder IT-sikkerhetsstandarder og reduserer risikoen for informasjonslekkasje.
Løsningen tilbyr sentralisert administrasjon, overvåking av brukeraktivitet, samling av logger og modulær arkitektur. Acronis DeviceLock fungerer med Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation og VMware Horizon. Den tilbyr også dataskyggelegging, varsling, logging og innholdsbevisst kontroll.
Du kan registrere deg for en 30-dagers gratis prøveperiode.
ManageEngine
ManageEngine Device Control Plus beskytter data ved å tilby rollebasert tilgangskontroll, beskytte mot skadelig programvare og analysere enheter. Løsningen forhindrer datatap ved å blokkere uautorisert tilgang og gir muligheter for å sette opp skrivebeskyttet tilgang, hindre kopiering av filer og mer.
Du kan sette begrensninger på filtyper og filstørrelser og sørge for sanntids databeskyttelse. Løsningen gir en pålitelighetsliste over enheter, som sikrer at bare autoriserte enheter kan få tilgang til endepunktene. Device Control Plus tilbyr rapporter, revisjoner og varsler for å overvåke hackforsøk og uautorisert tilgang. Det er mulig å laste ned en 30-dagers gratis prøveversjon med alle funksjoner.
Digital Guardian
Digital Guardian (tidligere Verdasys) tilbyr teknologi for å forhindre tyveri av intellektuell eiendom. Den første versjonen var en endepunktsagent som overvåket all bruker- og systemaktivitet. Løsningen logger også tilsynelatende godartede aktiviteter for å oppdage mistenkelige handlinger. Loggrapporter kan analyseres for å identifisere hendelser som TDLP-løsninger ikke oppdager.
DG kjøpte Code Green Networks for å utfylle sin ADLP-løsning med tradisjonelle DLP-verktøy, men det er begrenset integrasjon mellom disse to løsningene, og de selges også separat.
Forcepoint
Forcepoint er en ledende leverandør i Gartners «magiske kvadrant» for TDLP-leverandører. Sikkerhetsplattformen inkluderer URL-filtrering, e-post og nettsikkerhet, supplert med tredjepartsløsninger som SureView Insider Threat Technology, McAfees Stonesoft NGFW og Impervas Skyfence CASB.
Forcepoint sin arkitektur inkluderer servere for administrasjon, datatrafikkovervåking og e-post/nettrafikkblokkering. Løsningen er brukervennlig og tilbyr flere policyer, kategorisert etter land og bransje. Forcepoint DLP inkluderer funksjoner som OCR for å oppdage sensitiv informasjon i bilder og hendelsesrisikorangering for å prioritere hendelser.
McAfee
Etter å ha blitt kjøpt av Intel, investerte ikke McAfee like mye i sitt DLP-tilbud. Etter at sikkerhetsavdelingen ble skilt ut og McAfee igjen ble et selvstendig selskap, fikk DLP-produktlinjen de nødvendige oppdateringene.
McAfee sin DLP-løsning består av tre hoveddeler: nettverk, oppdagelse og endepunkt. En unik komponent er McAfee DLP Monitor, som gjør det mulig å fange opp data fra hendelser som utløses av policybrudd, sammen med nettverkstrafikk. Dette gjør det mulig å gjennomgå det meste av dataen og oppdage hendelser som ellers kunne gått ubemerket hen. McAfee ePolicy Orchestrator tar seg av det meste av administrasjonen, men noen oppgaver må fortsatt utføres utenfor Orchestrator.
Symantec
Symantec er en ledende aktør innen DLP-løsninger med en stor installert base. Løsningen bruker en modulær tilnærming med separate programvarekomponenter for ulike funksjoner, inkludert Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight og Endpoint Discover. Data Insight gir synlighet i ustrukturert databruk, eierskap og tilgangstillatelser. Symantec DLP kan tilpasses på mange måter, noe som gir et høyt nivå av policyjustering, men det medfører også kompleksitet i distribusjon og vedlikehold.
RSA
EMCs DLP-løsning, RSA Data Loss Prevention, hjelper til med å oppdage og overvåke flyten av sensitive data, som bedrifts-IP og kundekredittkort. Løsningen gir brukeropplæring og håndhever kontroller i e-post, nett, telefoner og andre kanaler. RSA Data Loss Prevention tilbyr omfattende dekning, plattformintegrasjon og arbeidsflytautomatisering ved bruk av innholdsklassifisering, fingeravtrykk, metadataanalyse og policyer for å identifisere sensitiv informasjon.
EMC sin dekning omfatter e-post, nett, FTP, sosiale medier, USB-enheter, SharePoint og mange andre risikovektorer. Fokus på brukeropplæring har som mål å øke risikobevisstheten.
CA Data Protection
CA Data Protection (Broadcoms DLP-tilbud) legger til en fjerde klasse av data som må beskyttes: «ved tilgang». Løsningen fokuserer på hvor dataene befinner seg, hvordan de håndteres og deres følsomhetsnivå. Den har som mål å redusere datatap ved å kontrollere både informasjonen og tilgangen til den.
CA Data Protection reduserer risikoen for kritiske eiendeler, kontrollerer informasjon på tvers av bedriftsplasseringer, reduserer risikofylte kommunikasjonsformer og legger til rette for overholdelse av lover og interne regler.
Den økonomiske konsekvensen av DLP: Er det en investering eller en utgift?
En velimplementert DLP-løsning kan spare organisasjonen din for store summer, men feil valg eller feil implementering kan føre til betydelige kostnader. Det er derfor viktig å ikke bare fokusere på å sette i gang en løsning, men også å analysere og sammenligne ulike tilbud for å finne den optimale løsningen for din organisasjon. Forbered deg på å bruke ressurser på å utforske markedet og velge en løsning som passer best for dine behov.