Cos'è la DLP e perché le organizzazioni ne hanno bisogno?
Per più di 100 anni, c'è stato un graduale cambiamento nella tecnologia di archiviazione e accesso ai dati. Questo cambiamento parte da quando le informazioni venivano stampate e archiviate su file fisici e schedari, passando per la digitalizzazione delle informazioni e l'archiviazione dei dati su file e cartelle digitali su dischi rigidi, per finire più recentemente con il caricamento e l'archiviazione dei dati nel cloud. Questa evoluzione nell'archiviazione e nell'accessibilità dei dati tende a produrre una comunicazione più agile e presenta i seguenti vantaggi per gli utenti finali:
- I dati digitali occupano meno spazio fisico.
- Pubblicare e distribuire documenti digitali costa meno di quelli fisici.
- I documenti digitali tendono ad essere più ecosostenibili rispetto a quelli stampati.
- Con l'adozione di precauzioni adeguate, gli utenti finali possono determinare a quali dati o file devono accedere dal cloud e quindi accedervi secondo necessità da qualsiasi dispositivo.
Insieme a tutti i vantaggi derivanti dall'utilizzo di nuove tecnologie, quali il cloud storage, nascono però le sfide legate al mantenimento della sicurezza e dell'integrità dei dati. Queste sfide includono la prevenzione della perdita e distruzione dei dati e l'elusione di attacchi informatici, fughe di dati e minacce digitali simili.
Egress Software Technologies riferisce che durante il 2020 "il 95% delle organizzazioni afferma di aver subito una [qualche forma di] perdita di dati".1 Il report sostiene che i dati contenuti nelle e-mail sono quelli maggiormente a rischio e rileva le seguenti statistiche su dati vulnerabili, e-mail, perdita di dati e violazioni dei dati:
- L'85% dei dipendenti sta inviando più email.
- L'83% delle organizzazioni [sta] subendo violazioni dei dati delle email.
- Il 59% dei responsabili dell'IT evidenzia un aumento nella perdita dei dati legato alla pandemia.
- Il 68% dei responsabili dell'IT ritiene che in futuro una forza lavoro flessibile e che lavori da remoto renderà più difficile impedire le violazioni dei dati delle email.1
Le organizzazioni odierne applicano pratiche, strategie e tecniche di prevenzione della perdita di dati (DLP) per prevenire o mitigare in altro modo queste minacce e per garantire la protezione dei propri dati. Proofpoint osserva che "le organizzazioni stanno adottando la DLP a causa delle minacce interne e delle rigorose leggi sulla privacy dei dati, molte delle quali hanno severi requisiti di protezione dei dati o di accesso ai dati"2 e per il supporto con "monitoraggio e controllo delle attività degli endpoint".2
Techopedia definisce la DLP come "l'identificazione e il monitoraggio dei dati sensibili per garantire che vi accedano solo gli utenti autorizzati e che ci siano salvaguardie contro la fuga di dati".3 Questa definizione rileva che "l'adozione della DLP nel 2006 [è stata] innescata da minacce interne [e] leggi statali più rigorose sulla privacy".3 Un mezzo per proteggere i dati importanti o sensibili, la DLP aiuta a impedire l'accesso ai dati da parte di utenti non autorizzati o il passaggio in altro modo su un dispositivo gateway perimetrale. Gli strumenti DLP aiutano a monitorare e gestire le attività ed eseguire azioni come il filtraggio dei flussi di dati e la protezione dei dati dinamici.
Proofpoint offre una definizione semplificata di DLP, dichiarando che “assicura che gli utenti non inviino informazioni sensibili o critiche al di fuori della rete aziendale"2. La definizione continua, affermando che DLP "descrive prodotti software che aiutano un amministratore di rete a controllare i dati che gli utenti possono trasferire".2
Quali sono le tre aree in cui DLP fornisce supporto?
Digital Guardian rileva che la DLP aiuta le organizzazioni fornendo supporto nelle seguenti tre aree:
- Protezione [e] conformità delle informazioni personali
- Protezione della proprietà intellettuale (Intellectual property, IP)
- Visibilità dei dati4
La DLP fornisce il seguente ulteriore supporto:
- Minacce interne
- Protezione dei dati di Office 365
- Analisi del comportamento dell'utente e dell'entità
- Eventuali ulteriori minacce emergenti
In che modo DLP può aiutare con la protezione e la conformità delle informazioni personali?
Le organizzazioni odierne trattano spesso le informazioni personali dei propri utenti. Questi dati personali possono includere qualsiasi cosa, dagli indirizzi e-mail alle informazioni di identificazione personale (personal identifiable information, PII) dei propri utenti, informazioni sanitarie protette (protected health information, PHI) e altre informazioni finanziarie, quali carte di credito o informazioni sul conto per i pagamenti online. Queste informazioni sono sensibili e potrebbero causare danni reali se venissero divulgate. Per garantire che questi dati rimangano al sicuro, queste organizzazioni devono attenersi alle normative di conformità, quali l'Health Insurance Portability and Accountability Act (HIPAA), il General Data Protection Regulation (GDPR) e il California Consumer Privacy Act (CCPA). Digital Guardian osserva che la DLP aiuta le organizzazioni a "identificare, classificare e contrassegnare i dati sensibili e monitorare le attività e gli eventi che orbitano attorno ai dati [dei loro utenti] [e a] fornire i dettagli necessari per gli audit di conformità".4
Come può la DLP assistere nella IP protection?
Analogamente alle PII, le organizzazioni che gestiscono dati che includono IP, segreti commerciali e segreti di stato devono seguire determinate politiche e controlli per garantire che questi dati rimangano protetti da qualsiasi accesso indesiderato. Il CSO osserva che la IP DLP "mira a impedire che i dati vengano rubati tramite spionaggio aziendale o che siano esposti inavvertitamente online".5 Gli strumenti DLP basati sulla protezione IP possono "prevedere la classificazione basata sul contesto [per] classificare la proprietà intellettuale in forme strutturate e non strutturate"5 e impedire in altro modo qualsiasi esfiltrazione indesiderata di questi dati.
Come può la DLP assistere nella visibilità dei dati?
Prima di poter sviluppare una strategia per prevenire la perdita di dati e l'accesso non autorizzato ai propri dati, è bene identificare innanzitutto dove sono archiviati i propri dati, quanto spesso si spostano e dove si spostano. Gli strumenti DLP per la visibilità dei dati aiutano a fornire una panoramica più ampia dell'infrastruttura dati prevedendo il monitoraggio dei dati e informazioni dettagliate su come gli utenti finali interagiscono con i dati dell'organizzazione.
Come funziona la DLP e cosa sono le soluzioni DLP?
Le pratiche, le strategie e le tecniche DLP cercano di rispondere alle domande che chiedono come è possibile identificare i dati sensibili che necessitano di protezione, come individuare le vulnerabilità dei dati, come risolvere rapidamente i problemi dei dati dopo che sono stati identificati e infine come prevenire la perdita di dati? Esistono tre diverse soluzioni DLP e ognuna cerca di rispondere a questa domanda in modo diverso. Di seguito sono riportati quattro esempi di soluzioni DLP:
- DLP della rete
- DLP storage
- DLP endpoint
- DLP aziendale
Queste soluzioni DLP utilizzano spesso programmi agent per scansionare o ordinare i dati, quindi individuare i dati sensibili o comunque a rischio.
Cos'è DLP della rete?
Nel proprio articolo, “DLP: What is it and how does it work?”, OSTEC osserva che la DLP della rete è "fornita su piattaforme software [e] hardware [ed è] integrata con punti dati sulla rete aziendale".6 Dopo la sua installazione, lo strumento DLP della rete fornisce una vasta panoramica di tutti i dati che viaggiano attraverso la rete. La soluzione può produrre queste informazioni monitorando, tracciando, scansionando e segnalando il contenuto che passa attraverso i protocolli e le porte della rete. Questi report offrono una visione più approfondita dei dati della rete e aiutano a determinare quali dati vengono utilizzati, chi li sta utilizzando, come viene effettuato l'accesso e dove viaggiano i dati.
Cos'è la DLP storage?
La DLP storage aiuta a controllare il flusso di dati, in particolare i dati archiviati nel cloud, e consente al supporto IT di ottenere maggiori informazioni sugli aspetti dell'utilizzo dei dati, ad esempio quali dati vengono archiviati e condivisi, quanti dati sono considerati riservati e quanti dati sono vulnerabili. OSTEC afferma che le soluzioni DLP storage offrono visibilità sui "file riservati archiviati e condivisi da coloro che hanno accesso alla rete aziendale”.6 iQueste informazioni possono essere analizzate e utilizzate per stabilire i punti vulnerabili di una rete e offrono suggerimenti per prevenire la perdita di dati.
Cos'è la DLP dell'endpoint?
Sebbene un numero crescente di dati odierni sia accessibile tramite il cloud, lo storage esterno sarà sempre utilizzato, anche se con una capacità più limitata. Strumenti, come dischi rigidi esterni, unità flash o dispositivi di archiviazione esterni simili, di solito offrono un mezzo più rapido per il trasferimento dei dati rispetto a un trasferimento dati solo online. Strumenti di archiviazione esterni come questi comporteranno alcuni rischi per la sicurezza, di solito sotto forma di perdita dei dati. Gli strumenti di DLP dell'endpoint sono la migliore soluzione per questi problemi. OSTEC afferma che una volta "installati su tutte le stazioni di lavoro e sui dispositivi utilizzati dai dipendenti dell'azienda, [questi strumenti vengono utilizzati] per monitorare e prevenire l'estrazione di dati sensibili da dispositivi rimovibili, applicazioni di condivisione o appunti”.6
Cosa sono la DLP enterprise e la DLP integrata?
Geekflare analizza i tipi di dati che le soluzioni DLP proteggono, osservando che i dati possono trovarsi nelle seguenti tre condizioni principali.
- Dati in uso. Include i seguenti esempi di dati:
- Dati attivi
- Dati residenti nella RAM
- Memorie cache
- Registri della CPU
- Dati in movimento. Dati in viaggio attraverso uno dei seguenti tipi di rete:
- Rete interna e sicura
- Rete pubblica non protetta
- Dati a riposo. L'opposto dei dati attivi, questo gruppo si riferisce a dati in uno stato inattivo e include i seguenti esempi di dati:
- Dati archiviati in un database
- Dati archiviati in un file system
- Dati archiviati in un'infrastruttura di storage di backup7
CSO osserva che le soluzioni DLP enterprise "mirano a proteggere i dati in tutti questi stati".5 Geekflare CSO osserva che le soluzioni DLP enterprise "mirano a proteggere i dati in tutti questi stati".7 Al contrario, le soluzioni di DLP integrata puntano su un "singolo protocollo".7 Il CSO osserva che la DLP integrata può anche "essere integrata in uno strumento unico e separato".5
Quali aspetti della soluzione DLP richiede la vostra organizzazione?
Poiché esistono molti tipi diversi di soluzioni DLP, ciò che funziona meglio per un'organizzazione potrebbe non rappresentare la scelta migliore per un'altra. Ogni organizzazione deve considerare i seguenti fattori nel determinare la propria copertura DLP:
- Dimensione
- Budget
- Tipi di dati, compreso il livello di sensibilità
- Infrastruttura di rete
- Requisiti tecnici vari
Quando si determina quale copertura o opzione simile sia la migliore per la propria organizzazione, la valutazione dovrebbe tendere ad un equilibrio ottimale dei seguenti aspetti della soluzione DLP:
- Copertura completa
- Console di gestione singola
- Gestione degli incidenti per conformità
- Accuratezza del metodo di rilevamento7
Cos'è la copertura completa?
Questo tipo di copertura prevede una copertura DLP completa. Con questa opzione, i componenti DLP forniscono la copertura completa del gateway di rete e il monitoraggio di tutto il traffico in uscita. Questa copertura DLP aiuta a fermare le perdite di dati tramite e-mail e le perdite tramite traffico Web e FTP (File Transfer Protocol). Fornisce inoltre la supervisione e aiuta a prevenire la perdita dei dati dell'organizzazione all'interno del proprio archivio dati, endpoint e dati attivi.
Cos'è una console di gestione singola?
Geekflare osserva che una soluzione DLP richiede "tempo e impegno spesi nella configurazione [e] manutenzione del sistema, creazione [e] gestione di policy, reportistica, gestione degli incidenti [e] triage, rilevamento [e] mitigazione precoce del rischio e correlazione degli eventi”.7 La copertura con console di gestione singola funziona al meglio nel supportare queste richieste e nel ridurre i rischio.
Cos'è la gestione degli incidenti per conformità?
La gestione degli incidenti per conformità è un aspetto della soluzione DLP che richiede quali azioni devono essere intraprese immediatamente dopo che si è verificato un incidente di perdita di dati. Questi passi non solo aiutano a garantire che la propria organizzazione eviti multe o problemi legali, ma aiutano anche nel ripristino dei dati, nel ripristino di emergenza e riportano il più rapidamente possibile l'organizzazione al punto in cui si trovava prima dell'incidente.
Cos'è l'accuratezza del metodo di rilevamento?
L'accuratezza del metodo di rilevamento è l'aspetto della soluzione DLP che aiuta a distinguere le soluzioni più adatte alla propria organizzazione da quelle che non lo sono. Le tecnologie DLP si basano spesso su un insieme limitato di metodi di rilevamento per identificare PII, PHI o dati simili.
Il confronto dei pattern rappresenta il metodo di rilevamento più comune. Techopedia definisce il confronto dei pattern [per l'informatica] come "il controllo e la localizzazione di specifiche sequenze di dati di alcuni pattern tra i dati non elaborati o una sequenza di token".8 Nonostante sia comunemente usato, il confronto dei pattern può essere ancora impreciso e causare lunghe code di incidenti a causa di falsi positivi. Geekflare sostiene che le migliori tecnologie di DLP "dovrebbero aggiungere altri metodi di rilevamento al tradizionale confronto dei pattern [per] migliorare la precisione”.7
Perché la perdita dati è difficile da prevenire?
La risposta semplice alla domanda: perché è difficile prevenire la perdita di dati? è perché la perdita di dati è radicata nell'errore umano. Incidenti, negligenza o azioni dannose intraprese da dipendenti o utenti finali simili possono portare alla perdita di dati. Considera la facilità con cui un errore di battitura potrebbe portare ad allegare il file sbagliato o inviare PII o segreti commerciali alla persona sbagliata.
Poiché si basa sull'errore umano, scoprire una soluzione affidabile e pratica per prevenire una violazione dei dati non è un compito semplice per nessuna organizzazione. La pandemia di COVID-19 e l'aumento globale dell'uso della posta elettronica hanno reso la minaccia di violazioni dei dati delle e-mail attivate dall'uomo un rischio ancora maggiore. Il DLP, e in particolare la DLP via e-mail, è diventato uno strumento fondamentale per eliminare o almeno mitigare questo rischio.
Quali sono le pratiche DLP comuni?
Nel suo articolo Email DLP: Everything you need to know, Egress osserva che "tradizionalmente, il software DLP e-mail [utilizza] regole statiche per impedire agli utenti di inviare e-mail dati sensibili o riservati, [aiutando a proteggere] le organizzazioni dall'esposizione accidentale di dati sensibili”.9 L'applicazione di strumenti di sicurezza nativi abbinati a strumenti DLP statici è un'altra pratica comune per la DLP. I responsabili della sicurezza IT o responsabili IT simili sono spesso tenuti a definire le regole DLP statiche per le proprie organizzazioni.
Come funzionano le regole DLP statiche e quali sono i loro vantaggi?
Se implementate correttamente, le rigide regole DLP statiche impediscono l'invio di informazioni personali o dati sensibili simili. La tecnologia DLP statica tradizionale impedisce che le stesse PII vengano inviate a un destinatario non autorizzato. Egress rileva che, quando un utente finale tenta di inviare un'email, "il contenuto dei messaggi e dei file viene scansionato in base alle regole in vigore".1 Dopo la scansione, "se un'email viola i criteri selezionati, [potrebbero essere intraprese le seguenti azioni]:
- L'email può essere bloccata o posta in quarantena
- Al mittente può essere richiesto di modificarne il contenuto o di verificarne i destinatari
- La crittografia potrebbe essere obbligatoria1
Quali sono i problemi legati all'utilizzo di regole DLP statiche?
Uno dei grandi problemi con la tecnologia DLP statica e gli strumenti di sicurezza nativi è che "non sono in grado di rilevare incidenti derivati dal contesto, come ad esempio un dipendente che seleziona il destinatario sbagliato, allega il file sbagliato [e così via]”.1 Egress continua affermando che "il 79% dei responsabili dell'IT intervistati ha implementato la tecnologia DLP di posta elettronica statica [per] mitigare il rischio", ma [affermano che non è] un toccasana per la prevenzione delle violazioni e il 79% ha riscontrato difficoltà derivanti dal [suo] uso”.1
Il problema più diffuso con le regole DLP statiche è la loro rigidità. Sono statiche e in quanto tali, resistenti al cambiamento. Egress osserva che per i responsabili dell'IT ci sono molte spese generali associate alla "gestione delle regole DLP statiche per garantire che [la tecnologia DLP sia] adattata alla gestione dei rischi emergenti".1 L'esempio più evidente di ciò è rappresentato da come "il 37% degli intervistati ha affermato di dover modificare le regole per rendere [la tecnologia] più utilizzabile, prediligendo la produttività alla sicurezza, nel tentativo di aumentare l'efficienza dei dipendenti".1
C'è una regola di equilibrio intrinseco che i responsabili dell'IT devono rispettare. Implica la creazione di un ambiente sicuro che sia di facile utilizzo, che mantenga il livello di produttività e accontentando al contempo gli utenti finali interni ed esterni.
Le regole statiche della DLP delle email sono minate da un'attuale generale mancanza di fiducia nei loro confronti. "Il 74% degli intervistati [crede] che gli strumenti statici della DLP delle email che utilizzano siano efficaci per meno del 75%".1 Forse ancora più preoccupante è il dato che rileva che gli altri responsabili dell'IT "accettano che almeno il 25% degli incidenti di perdita di dati non verrà rilevato [e che] il 42% in generale afferma che la metà di tutti gli incidenti non verrà rilevata dagli strumenti DLP di cui dispongono".1 Questa profonda mancanza di fiducia dimostra che i responsabili dell'IT hanno cognizione dei limiti del DLP statico e anche degli sforzi che richiede per tenere il passo con gli errori di comportamento umani. Sebbene la formazione continua può aumentare la consapevolezza degli utenti e indicare le azioni da intraprendere o da evitare, oltre contribuire a ridurre la probabilità che si verifichi la perdita di dati, l'errore umano non può mai essere completamente rimosso.
Qual è la soluzione per i problemi associati alle regole di DLP statiche?
Il DLP intelligente può offrire una soluzione ai problemi legati alle regole DLP statiche. Mentre il DLP statico evidenzia un'incapacità a rilevare gli incidenti legati al contesto, il DLP intelligente utilizza l'apprendimento automatico contestuale, basando i propri processi su un'analisi approfondita dei modelli di comportamento dei suoi utenti. Queste analisi sono costantemente aggiornate e incorporano la relazione di ciascun utente con i mittenti e i destinatari di un'email. Grazie a questo calcolo accurato, il DLP intelligente è in grado di individuare meglio comportamenti anomali o comunque errati che potrebbero portare alla perdita di dati o a violazioni della sicurezza. Rilevando rapidamente il rischio, l'utente ha il tempo di essere avvisato, avendo così la possibilità di correggere il proprio errore prima che l'email venga inviata.
"Il DLP intelligente può applicare automaticamente il livello di crittografia appropriato in base all'email e al contenuto degli allegati e al rischio associato al dominio del destinatario".1 Eliminando la necessità per i responsabili dell'IT di prendere decisioni su quello che ritengono sia un livello di crittografia appropriato, l'automazione rimuove anche il potenziale errore umano dal processo.
Protezione dei dati con il Backup as a Service
La protezione dei dati con il Backup as a Service (BaaS) è una potenziale risposta alle esigenze di DLP di un'organizzazione. Fornisce infrastruttura di backup, software di backup, supporto gestito e molti altri componenti ed è distribuibile in qualsiasi combinazione dei seguenti ambienti:
- Data center on-premises
- Cloud privato
- Cloud pubblico
- Cloud ibrido
Una soluzione di protezione dei dati end-to-end completamente gestita, la protezione dei dati con BaaS include i seguenti componenti e vantaggi:
- Cloud Ibrido e multicloud. Questo componente supporta numerose topologie di distribuzione e può essere costituito da una combinazione di cloud on-premise o privato e una varietà dei principali cloud pubblici.
- Ripristino istantaneo. Questo componente aiuta gli utenti finali a evitare il tempo medio necessario per ripristinare i dati. Possono invece accedere alla copia di backup ed eseguire direttamente i propri carichi di lavoro durante la migrazione in produzione.
- Seconda copia offsite. Una seconda copia offsite dei propri dati aiuta a garantire la resilienza informatica. In caso di perdita totale del sito, questa seconda copia offsite accelera notevolmente il processo di ripristino e semplifica notevolmente il raggiungimento dell'obiettivo del tempo di ripristino (RTO).
- Ampio supporto del carico di lavoro. Questo componente supporta diversi tipi di carico di lavoro, inclusi MongoDB e altri database di generazione moderna e SAP e altre applicazioni tradizionali di classe enterprise.
- Portale web self-service. Questo componente fornisce agli utenti finali le API (Application Programming Interface) per l'integrazione con gli strumenti di automazione degli utenti finali e un portale Web self-service personalizzato. Il portale Web semplifica il processo, inviando richieste di provisioning, apportando modifiche ai servizi e visualizzando report.
- Storage degli oggetti su cloud. Questo componente fornisce uno storage altamente resiliente a un costo ridotto per i backup con conservazione a lungo termine. Mantiene inoltre le copie operative a conservazione più breve che vengono archiviate su un disco più veloce, consentendo ripristini rapidi.
Risorse
- Egress Data Loss Prevention Report 2021, Egress, 2021.
- Data Loss Prevention (DLP), Proofpoint.
- Data Loss Prevention (DLP), Techopedia.
- What is Data Loss Prevention (DLP)? A Definition of Data Loss Prevention, Digital Guardian, 1 Ottobre 2020.
- What is DLP? How data loss prevention software works and why you need it, CSO, 3 Luglio 2020.
- DLP: What is it and how does it work?, OSTEC, 26 agosto 2020.
- 6 Best Data Loss Prevention Solutions that could save You Millions, Geekflare, 3 gennaio 2020.
- Pattern Matching, Techopedia.
- Email DLP: Everything you need to know, Egress Software Technologies Ltd.