De mest verdifulle eiendelene til et selskap er også de vanskeligste å beskytte.
Vi snakker om data, det essensielle stoffet som holder enhver bedrifts nervesystem i live. Heldigvis er det en hel industri dedikert utelukkende til å hjelpe bedrifter med å unngå tap av data. Denne industrien ledes av en håndfull leverandører som leverer en teknologi kjent som Data Loss Prevention, eller DLP for kort.
DLP-teknologier utfører to kjernefunksjoner.
- Identifiser sensitive data som må beskyttes
- Forhindre tap av slike data
Datatypene de beskytter kan deles inn i tre primærgrupper:
- Data i bruk
- Data i bevegelse
- Data i hvile
Data i bruk refererer til aktive data, vanligvis data som ligger i RAM, cache-minner eller CPU-registre.
Data i bevegelse refererer til dataene som reiser gjennom et nettverk, enten et internt og sikkert nettverk eller et usikret offentlig nettverk (internett, telefonnett, etc.).
Og data i hvile refererer til data som er i en inaktiv tilstand, enten lagret i en database, et filsystem eller en lagringsinfrastruktur.
Når det gjelder dekningsevner, kan DLP-løsninger klassifiseres i to kategorier.
- Enterprise DLP eller EDLP
- Integrert DLP eller IDLP
Løsningene som faller inn i EDLP-kategorien er de som dekker hele lekkasjevektorspekteret. I motsetning til dette er IDLP-løsninger fokusert på en enkelt protokoll eller på bare én av de tre tidligere nevnte datatypene. Noen eksempler på IDLP-løsninger er nettsikkerhet, e-postkryptering og enhetskontroll.
Innholdsfortegnelse
Hva kan du forvente av en flott DLP-løsning?
Det er ikke noe slikt som en en-for-alle-løsning i DLP. Den riktige løsningen for hver nødvendighet avhenger av mange faktorer. Disse inkluderer organisasjonsstørrelse og budsjett, typer sensitive data, nettverksinfrastruktur, tekniske krav, blant annet. For å finne ut hvilken løsning som er best for din bedrift krever innsats og forskning, for å finne ut hva du skal velge mellom DLP-tilnærminger, deteksjonsmetoder og løsningsarkitekturer.
Etter å ha undersøkt og analysert kravene dine, bør din ideelle DLP-løsning gi den optimale balansen mellom disse aspektene:
- Omfattende dekning: DLP-komponentene bør dekke nettverksporten for å overvåke all utgående trafikk og blokkere lekkasjer i form av e-post og nett-/FTP-trafikk. De bør også dekke lagrede data på tvers av alle selskapets lagringsressurser, og alle endepunktene, for å forhindre tap på dataene som er i bruk.
- Enkel administrasjonskonsoll: DLP-løsningsadministrasjonen krever innsats og tid brukt på systemkonfigurasjon/vedlikehold, opprettelse/administrasjon av retningslinjer, rapportering, hendelseshåndtering/triage, tidlig risikodeteksjon/redusering og hendelseskorrelasjon. Støtte for disse områdene krever én enkelt administrasjonskonsoll. Ellers kan du introdusere unødvendige risikoer.
- Incident Management for Compliance: Når en hendelse med tap av data oppstår, er riktig håndtering avgjørende. Du må være bevisst på at tap av data er uunngåelig, men forskjellen mellom en kostbar bot og et slag på håndleddet kan gjøres på måten en hendelse med datatap håndteres.
- Deteksjonsmetodenøyaktighet: Sist, men ikke minst, skiller dette aspektet av en DLP-løsning de gode løsningene fra de dårlige. DLP-teknologier er avhengige av et redusert sett med deteksjonsmetoder når tiden kommer for å identifisere sensitive data. Mønstertilpasning, ved bruk av regulære uttrykk, er den mest brukte gjenkjenningsmetoden. Denne metoden er imidlertid svært unøyaktig, noe som resulterer i lange køer med falske positive hendelser. Gode DLP-teknologier bør legge til andre deteksjonsmetoder til den tradisjonelle mønstertilpasningen for å forbedre nøyaktigheten.
Major DLP nærmer seg
Da DLP-løsningene begynte å øke, henvendte alle leverandører seg til DLP med sett med komponenter designet for å dekke selskapets infrastruktur. I dag har situasjonen endret seg, og ikke alle leverandører bruker samme tilnærming. Disse tilnærmingene faller inn i to hovedkategorier.
- Tradisjonell DLP
- Agent DLP
Tradisjonell DLP tilbys av noen av leverandørene på markedet, som Forcepoint, McAfee og Symantec. Den tradisjonelle tilnærmingen disse leverandørene tilbyr er også en flerstrenget: den gir dekning ved nettverksporten, i lagringsinfrastrukturen, ved endepunktene og i skyen. Denne tilnærmingen var vellykket nok til å skissere dagens DLP-marked og var den første som tok en viktig del av markedsandelen.
Den andre tilnærmingen til DLP kalles Agent DLP, eller ADLP. Den bruker endepunktsagenter på kjernenivå som overvåker all bruker- og systemaktivitet. Derfor er løsningene som passer inn i denne tilnærmingen også kjent som Endpoint DLP-løsninger.
Det er ikke lett å avgjøre hvilken tilnærming som er best for en organisasjons krav. Det avhenger sterkt av hvilke typer data som må beskyttes, bransjen som organisasjonen opererer i, og årsakene til å beskytte dataene. For eksempel er organisasjoner i helsevesenet og finansnæringen tvunget til å bruke DLP for å følge regelverket. For disse selskapene må en DLP-løsning oppdage personlig informasjon og helseinformasjon på tvers av forskjellige kanaler og i mange forskjellige former.
På den annen side, hvis et selskap trenger DLP for beskyttelse av intellektuell eiendom, vil DLP-løsningen kreve mer spesialiserte deteksjonsmetoder. Dessuten er nøyaktig gjenkjenning og beskyttelse av sensitive data mye vanskeligere å oppnå. Ikke alle tradisjonelle DLP-løsninger kommer til å gi de riktige verktøyene for denne jobben.
DLP-arkitektur: hvordan overleve løsningskompleksitet
DLP-teknologier er sofistikerte. De krever innspill fra mange forskjellige områder: web, e-post, databaser, nettverk, sikkerhet, infrastruktur, lagring osv. Virkningen av en DLP-løsning kan også nå ikke-IT-områder, som juridisk, HR, risikostyring, etc. For å gjøre det enda mer komplekst, er DLP-løsninger vanligvis svært vanskelige å distribuere, konfigurere og administrere.
Tradisjonelle DLP-løsninger tilfører oppskriften enda mer kompleksitet. De krever flere enheter og programvare for å kjøre den komplette løsningen. Disse kan inkludere apparater (virtuelle eller ekte) og servere.
Organisasjonens nettverksarkitektur må integrere disse enhetene, og denne integrasjonen må inkludere utgående nettverkstrafikkinspeksjon, blokkering av e-post osv. Når integrasjonen er fullført, oppstår et annet kompleksitetsnivå i administrasjonen, som avhenger av hver leverandør.
Agent DLP-løsninger er vanligvis mindre komplekse enn tradisjonelle, hovedsakelig fordi de krever lite eller ingen nettverksintegrasjon i det hele tatt. Imidlertid samhandler disse løsningene med OS på kjernenivå. Derfor kreves utvidet tuning for å unngå konflikt med OS og andre applikasjoner.
DLP-leverandørsammenbrudd:
Acronis DeviceLock
Acronis DeviceLock Forebygging av datatap gir en omfattende endepunktsløsning ved å beskytte dine sensitive data mens du sjekker informasjonsoperasjonene. Du trenger ikke å miste dine nødvendige data på grunn av ondsinnede innsidere eller ansattes uaktsomhet; forhindre datalekkasje ved å blokkere uautoriserte forsøk på å overføre data eller få tilgang til andre filer.
Få innsikt i databeskyttelse, dens flyter og brukeratferd og reduser kompleksiteten til databeskyttelse og rapporteringstider. Overhold forskrifter og standarder for IT-sikkerhet og reduser risikoen for informasjonslekkasje ved å håndtere og håndheve retningslinjer for databruk.
Gå med ikke-avbrytende oppgraderinger og innebygd integrasjon sammen med gruppepolicy. Acronis DeviceLock tilbyr sentrale administrasjonskonsoller i henhold til bedriftens krav. Den lar deg overvåke brukeraktivitet, samle logger, bruke rapporteringsverktøy, se loggposter og få modulær arkitektur for å kontrollere TCO (Total Cost of Ownership).
Tillat nødvendige operasjoner for forretningsprosessene dine og minimer innsidetrusler. Acronis DeviceLock tilbyr løsninger som Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation og VMware Horizon-visning. Du kan også kontrollere dataskyggelegging, varsling, logging, kontekst- og innholdsbevisst.
Registrer deg for å få en 30-dagers GRATIS prøveversjon.
ManageEngine
ManageEngine Device Control Plus beskytter dataene dine mot trusler ved å tillate deg å tildele rollebaserte tilgangskontroller for enhetene, beskytte dem mot angrep fra skadelig programvare og analysere enheter.
Bruk av flyttbare enheter som USB har en tendens til å føre til tap av data, men dette er ikke det; mange andre problemer finnes. Videre forhindrer Device Control Plus dataene dine ved å blokkere uautorisert tilgang til enhetene. Følg enkle retningslinjer som å angi skrivebeskyttet tilgang, blokkere brukere fra å kopiere filene fra de flyttbare enhetene og mer.
Du kan angi begrensninger for filtypen og filstørrelsen basert på dataene bedriften din håndterer. Sørg dessuten for databeskyttelse i sanntid ved å tillate begrenset overføring av dataene. Å identifisere og fjerne skadelige enheter er en kompleks oppgave; opprette en enhetsliste som du kan stole på. Det vil sikre at ingen enhet kan få tilgang til endepunktene med mindre de er autorisert.
Spor hvem som bruker enheten på hvilket endepunkt med rapporter og revisjoner for å overvåke hackforsøk. Verktøyet gir også umiddelbare varsler hvis det vil være uautorisert tilgang. Last ned programvaren og ta en 30-dagers GRATIS prøveversjon med funksjonene.
Digital Guardian
Digital Guardian ble født i 2003 som Verdasys, med mål om å tilby teknologi for å forhindre at intellektuell eiendom blir stjålet. Det første produktet var en endepunktagent som var i stand til å overvåke all bruker- og systemaktivitet.
I tillegg til å overvåke ulovlige aktiviteter, logger løsningen også tilsynelatende godartede aktiviteter for å oppdage mistenkelige handlinger. Loggrapport kan analyseres for å oppdage hendelser som TDLP-løsninger ikke er i stand til å fange opp.
DG kjøpte Code Green Networks for å komplettere sin ADLP-løsning med tradisjonelle DLP-verktøy. Det er imidlertid lite integrasjon mellom DGs ADLP- og TDLP-løsninger. De selges til og med separat.
Forcepoint
Forcepoint ligger i en privilegert posisjon i Gartners «magiske kvadrant» av TDLP-leverandører. Sikkerhetsplattformen inkluderer et sett med produkter for URL-filtrering, e-post og nettsikkerhet. Disse verktøyene er supplert med noen kjente tredjepartsløsninger: SureView Insider Threat Technology, McAfees Stonesoft NGFW og Impervas Skyfence CASB.
Arkitekturen i Forcepoints løsning er enkel, i forhold til andre løsninger. Den inkluderer servere for administrasjon, data- og nettverkstrafikkovervåking og e-postblokkering/netttrafikkovervåking. Løsningen er brukervennlig, og den inkluderer mange policyer, kategorisert etter land, bransje osv.
Noen funksjoner gjør Forcepoint DLP-løsningen unik. For eksempel OCR-evne for å oppdage sensitive data i bildefiler. Eller hendelsesrisikorangering, for å la systemadministratorer se hvilke hendelser som bør vurderes i utgangspunktet.
McAfee
Siden oppkjøpet av Intel, McAfee investerte ikke for mye i DLP-tilbudet. Derfor fikk ikke produktene mange oppdateringer og tapte terreng til konkurrerende DLP-produkter. Noen år senere skilte Intel ut sin sikkerhetsavdeling, og McAfee ble et selvstendig selskap igjen. Etter det fikk DLP-produktlinjen noen nødvendige oppdateringer.
McAfee DLP-løsning består av tre hoveddeler, som dekker
- Nettverk
- Oppdagelse
- Endepunkt
En komponent er ganske unik blant andre DLP-tilbud: McAfee DLP Monitor. Denne komponenten tillater fangst av data fra hendelser utløst av brudd på retningslinjene, sammen med all nettverkstrafikk. På denne måten gir komponenten mulighet for gjennomgang av de fleste data og kan avdekke hendelser som ellers kunne gått ubemerket hen.
McAfees ePolicy Orchestrator tar seg av det meste av administrasjonen av DLP-løsningen. Men det er fortsatt noen ledelsesoppgaver som må gjøres utenfor Orchestrator. Selskapet må fortsatt integrere DLP-tilbudet fullt ut. Det er ennå ikke kjent om det vil bli gjort i fremtiden.
Symantec
Symantec er den ubestridte lederen innen DLP-løsninger, takket være de kontinuerlige innovasjonene den bruker på sin produktportefølje. Selskapet har den største installerte basen av alle DLP-leverandører. Løsningen har en modulær tilnærming, med en annen programvarekomponent som kreves for hver funksjon. Komponentlisten er ganske imponerende, inkludert Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover, etc.
Spesielt gir den unike Data Insight-komponenten synlighet av ustrukturert databruk, eierskap og tilgangstillatelser. Denne fordelen lar den konkurrere med produkter utenfor DLP-arenaen, og gir ekstra verdi for organisasjoner som kan utnytte denne evnen.
Symantecs DLP kan tilpasses på mange forskjellige måter. Nesten hver funksjon har sine konfigurasjoner, noe som gir et høyt nivå av policyjustering. Denne fordelen kommer imidlertid på bekostning av en større kompleksitet. Det er sannsynligvis det mest komplekse på markedet, og det kan kreve ganske mange timer for distribusjon og støtte.
RSA
EMCs DLP-løsning, Forebygging av RSA-datataplar deg oppdage og overvåke flyten av sensitive data, som bedrifts-IP, kundekredittkort osv. Løsningen hjelper til med å utdanne sluttbrukere og håndheve kontroller i e-post, nett, telefoner osv., for å redusere risikoen for å kompromittere kritiske data.
RSA Data Loss Prevention differensierer seg ved å tilby omfattende dekning, plattformintegrasjon og arbeidsflytautomatisering. Den tilbyr en kombinasjon av innholdsklassifisering, fingeravtrykk, metadataanalyse og ekspertpolicyer for å identifisere sensitiv informasjon med optimal nøyaktighet.
EMCs omfattende dekning inkluderer mange risikovektorer. Ikke bare den vanligste e-posten, nettet og FTP, men også sosiale medier, USB-enheter, SharePoint og mange andre. Dens tilnærming sentrert på brukeropplæring søker å skape risikobevissthet blant sluttbrukere, og veilede deres oppførsel når de håndterer sensitive data.
CA Databeskyttelse
CA Databeskyttelse (Broadcoms DLP-tilbud) legger til en fjerde klasse med data – foruten i bruk, i bevegelse, i hvile – som må beskyttes: ved tilgang. Fokuset er på stedet der data er plassert, hvordan de håndteres og hva som er følsomhetsnivået. Løsningen søker å redusere tap av data og misbruk ved å kontrollere ikke bare informasjonen, men tilgangen til den.
Løsningen lover nettverksadministratorer å redusere risikoen for deres mest kritiske eiendeler, kontrollere informasjon på tvers av bedriftsplasseringer, redusere høyrisiko kommunikasjonsmoduser og muliggjøre overholdelse av regulatoriske og bedriftspolicyer. Det legger også grunnlaget for en overgang til skytjenester.
Sparer du millioner eller koster deg millioner?
Den beste DLP-løsningen kan virkelig spare deg for millioner. Men det er også sant at det kan koste deg millioner hvis du ikke velger den rette for dine behov, eller hvis du ikke distribuerer den på riktig måte. Hvis du trodde at å velge riktig DLP-løsning bare var et spørsmål om å bla gjennom et funksjonssammenligningsdiagram, tok du feil.
Så vær forberedt på å bruke mye krefter på ikke bare å sette en DLP-løsning i gang når du kjøper den, men også å analysere alle tilbud og velge den som passer best for din organisasjon.