Che cos'è la tecnologia DLP e come funziona?

Come funziona la tecnologia DLP?

Comprendere le differenze tra consapevolezza del contenuto e analisi contestuale è essenziale per capire qualsiasi soluzione DLP nella sua interezza. Un modo utile per pensare alla differenza è che mentre il contenuto è la lettera, il contesto è la busta. Mentre la consapevolezza del contenuto implica acquisire la busta e guardarci dentro per analizzarne il contenuto, il contesto include fattori esterni come l'intestazione, la dimensione, il formato e tutto ciò che non include il contenuto della lettera. L'idea alla base della consapevolezza del contenuto è che, pur volendo utilizzare il contesto per ottenere maggiori informazioni sul contenuto, non vogliamo limitarci a un solo contesto.

Una volta che la busta è stata aperta e il contenuto è stato elaborato, esistono diverse tecniche di analisi del contenuto che possono essere utilizzate per attivare violazioni delle policy, tra cui:

1. Espressioni regolari/basate su regole: la tecnica di analisi più comune utilizzata in DLP prevede un motore che analizza i contenuti in base a regole specifiche come i numeri della carta di credito a 16 cifre, i numeri di previdenza sociale degli Stati Uniti a 9 cifre e così via. Questa tecnica è molto utile per fare una prima verifica veloce dei dati, perché permette di configurare delle regole specifiche che il sistema può controllare rapidamente. Tuttavia, può capitare che il sistema segnali un alto tasso di falsi positivi, specialmente se non si utilizza un controllo aggiuntivo, chiamato "checksum", che conferma che i criteri trovati sono effettivamente validi.
2. Impronta digitale del database: conosciuta anche come corrispondenza esatta dei dati, questo meccanismo confronta le informazioni in esame con quelle presenti in un database, sia esso un dump o un database in uso in quel momento. Sebbene i dump del database o le connessioni al database in tempo reale possano influire sulle prestazioni, questa è un'opzione per i dati strutturati dai database.
3. Corrispondenza esatta dei file: i contenuti dei file non vengono analizzati; tuttavia, gli hash dei file corrispondono a impronte digitali esatte. Fornisce pochi falsi positivi, sebbene questo approccio non funzioni per file con più versioni simili ma non identiche.
4. Corrispondenza parziale del documento: ricerca una corrispondenza completa o parziale su file specifici, ad esempio versioni multiple di un modulo compilato da utenti diversi.
5. Concettuale/Lessico: utilizza dizionari, regole e così via, queste policy possono inviare avvisi su contenuti che non possono essere facilmente classificati, come concetti molto generali o astratti. Deve essere personalizzata per la soluzione DLP fornita.
6. Analisi statistica: utilizza l'apprendimento automatico o altri metodi statistici, ad esempio l'analisi bayesiana, per attivare violazioni delle policy nei contenuti protetti. Richiede un grande volume di dati da analizzare: più grande è, meglio è, altrimenti c'è il rischio di falsi positivi e negativi.
7. Categorie predefinite: categorie predefinite con regole e dizionari per tipi comuni di dati sensibili, ad esempio numeri di carte di credito/protezione PCI, HIPAA e così via.

Oggi sul mercato esistono numerose tecniche che offrono diversi tipi di ispezione dei contenuti. Un aspetto da considerare è che mentre molti fornitori di DLP hanno sviluppato i propri motori di contenuto, alcuni utilizzano tecnologie di terze parti non progettate per la DLP. Per esempio, invece di sviluppare un sistema di riconoscimento dei criteri per i numeri di carta di credito, un fornitore di DLP potrebbe concedere in licenza la tecnologia da un fornitore di motori di ricerca per identificare i numeri di carta di credito. Quando valuti le soluzioni DLP, fai molta attenzione ai tipi di criteri rilevati da ciascuna soluzione su un corpus reale di dati sensibili per confermare l'accuratezza del suo motore di contenuti.

Le migliori pratiche DLP rafforzano la sicurezza dei dati

Le migliori pratiche DLP combinano tecnologia, controlli del processo, personale esperto e consapevolezza dei dipendenti. Di seguito le linee guida consigliate per lo sviluppo di un programma DLP efficace:

1. Implementare un unico programma DLP centralizzato - Molte organizzazioni implementano pratiche e tecnologie DLP ad hoc incoerenti, applicate da vari dipartimenti e unità aziendali. Questa incoerenza porta a una mancanza di visibilità sulle risorse dei dati e a una scarsa sicurezza dei dati. Inoltre, i dipendenti tendono a ignorare i programmi DLP del dipartimento che il resto dell’organizzazione non supporta.
2. Valutare le risorse interne - Per creare ed eseguire un piano DLP, le organizzazioni hanno bisogno di persone che abbiano esperienza in soluzioni DLP, incluse l'analisi dei rischi DLP, la risposta e la reportistica per la violazione dei dati, le leggi sulla protezione dei dati e la formazione e la sensibilizzazione in materia di DLP. Alcune normative governative richiedono alle organizzazioni di assumere personale interno o consulenti esterni con conoscenze in materia di protezione dei dati. Ad esempio, il GDPR include disposizioni che riguardano le organizzazioni che vendono beni o servizi ai consumatori nell’Unione Europea (UE) o che monitorano il loro comportamento. Il GDPR richiede a un responsabile della protezione dei dati (DPO) o al personale che possa assumersi responsabilità di DPO, tra cui lo svolgimento di verifiche di conformità, il monitoraggio delle prestazioni della DLP, la formazione dei dipendenti sui requisiti di conformità e il ruolo di intermediario tra l'organizzazione e le autorità di conformità.
3. Eseguire un inventario e una valutazione -  Una valutazione dei tipi di dati e del loro valore per l'organizzazione è un passo importante quando si inizia a implementare un programma di DLP. Ciò implica identificare quali dati sono rilevanti, dove sono archiviati e se sono sensibili: proprietà intellettuale, informazioni riservate o dati regolamentati. Alcuni prodotti DLP possono identificare rapidamente le risorse informative eseguendo la scansione dei metadati dei file e catalogando il risultato o, se necessario, aprendo i file per analizzarne il contenuto. Il passo successivo è valutare il rischio associato a ciascun tipo di dati, in caso di perdita di dati. Ulteriori considerazioni riguardano i punti di uscita dei dati e il probabile costo per l'organizzazione in caso di perdita dei dati. La perdita delle informazioni sui programmi di benefici per i dipendenti presenta un livello di rischio diverso rispetto alla perdita di 1.000 cartelle cliniche dei pazienti o 100.000 numeri di conto bancario e password.
4. Implementare in fasi -  La DLP è un processo a lungo termine che è meglio implementare in fasi. L'approccio più efficace consiste nel dare priorità ai tipi di dati e ai canali di comunicazione. Allo stesso modo, valuta la possibilità di implementare componenti o moduli software DLP in base alle esigenze, sulla base delle priorità dell'organizzazione, anziché tutti in una volta. L’analisi del rischio e l’inventario dei dati contribuiscono a stabilire queste priorità.
5. Creare un sistema di classificazione -  Prima che un'organizzazione possa creare ed eseguire policy DLP, ha bisogno di un framework di classificazione dei dati o di una tassonomia per i dati strutturati e non strutturati. Le categorie di sicurezza dei dati potrebbero includere informazioni riservate, interne, pubbliche, di identificazione personale (PII), dati finanziari, dati regolamentati, proprietà intellettuale e altro. I prodotti DLP possono eseguire la scansione dei dati utilizzando una tassonomia preconfigurata, che l'organizzazione può quindi personalizzare, per aiutare a identificare le categorie chiave dei dati. Sebbene il software DLP automatizzi e acceleri la classificazione, sono gli esseri umani a selezionare e personalizzare le categorie. I proprietari dei contenuti possono anche valutare visivamente alcuni tipi di contenuto che non possono essere identificati utilizzando semplici parole chiave o frasi.
6. Stabilire policy per la gestione e la remediation dei dati - Dopo aver creato il framework di classificazione, il passo successivo è creare (o aggiornare) policy per la gestione delle diverse categorie di dati. I requisiti governativi specificano le policy DLP per la gestione dei dati sensibili. Le soluzioni DLP in genere applicano regole o policy preconfigurate basate su varie normative, come HIPAA o GDPR. Il personale DLP può quindi personalizzare le policy in base alle esigenze dell'organizzazione. Per amministrare le policy, i prodotti di imposizione di DLP prevengono e monitorano i canali in uscita (come email e chat Web) e forniscono opzioni per la gestione di potenziali violazioni della sicurezza. Ad esempio, un dipendente che sta per inviare un'email con un allegato sensibile potrebbe ricevere un popup che suggerisce di crittografare il messaggio, oppure il sistema potrebbe bloccarlo del tutto o reindirizzarlo a un manager. La risposta si basa sulle regole stabilite dall’organizzazione.
7. Sensibilizzare i dipendenti -  La consapevolezza e l'accettazione delle procedure e delle policy di sicurezza da parte dei dipendenti è fondamentale per la DLP. Gli impegni per l'istruzione e la formazione, come i corsi, la formazione online, le email periodiche, i video e gli articoli possono migliorare la comprensione da parte dei dipendenti dell'importanza della sicurezza dei dati e rafforzare la loro capacità di seguire le migliori pratiche DLP consigliate. Anche le sanzioni per le violazioni della sicurezza dei dati possono migliorare la conformità, soprattutto se chiaramente definite. Il SANS Institute offre un'ampia gamma di risorse per la formazione e la sensibilizzazione sulla sicurezza dei dati.