DLP 정의 및 작동 방식

DLP 작동 방식

DLP 솔루션을 전체적으로 이해하려면 콘텐츠 인식과 컨텍스트 분석의 차이점을 이해하는 것이 중요합니다. 차이점에 대해 생각하는 유용한 방법으로 콘텐츠가 서신이라면 컨텍스트는 봉투입니다. 콘텐츠 인식에는 봉투와 봉투 안의 피어링을 캡처하여 콘텐츠를 분석하는 것이 포함되고, 컨텍스트에는 헤더, 크기, 형식 등 서신의 콘텐츠를 포함하지 않는 외부 요소가 포함됩니다. 콘텐츠 인식의 이면에 있는 아이디어는 컨텍스트를 사용하여 콘텐츠에 대한 더 많은 인텔리전스를 얻되, 단일 컨텍스트로 제한되지 않으려는 것입니다.

봉투가 열리고 콘텐츠가 처리되면 다음을 포함하여 정책 위반을 트리거하는 데 사용될 수 있는 여러 콘텐츠 분석 기술이 있습니다.

1. 규칙 기반/정규 표현식: DLP에서 사용되는 가장 일반적인 분석 기술에는 16자리 신용 카드 번호, 9자리 미국 사회보장번호 등과 같은 특정 규칙에 대해 콘텐츠를 분석하는 엔진이 포함됩니다. 이 기술은 규칙을 신속하게 구성하고 처리할 수 있기 때문에 우수한 1차 통과 필터이지만, 유효한 패턴을 식별하기 위한 체크섬 유효성 검사 없이는 오탐률이 높은 경향이 있습니다.
2. 데이터베이스 핑거프린팅: 정확한 데이터 일치라고도 하는 이 메커니즘은 데이터베이스 덤프 또는 실시간 데이터베이스에서 정확한 일치 항목을 조사합니다. 데이터베이스 덤프 또는 실시간 데이터베이스 연결이 성능에 영향을 미치지만 이는 데이터베이스에서 구조화된 데이터를 얻는 데 대한 선택 옵션입니다.
3. 정확한 파일 일치: 파일 콘텐츠는 분석되지 않지만, 파일의 해시는 정확한 핑거프린트와 일치합니다. 이 접근 방식은 유사하지만 동일하지 않은 버전이 여러 개 있는 파일에는 작동하지 않지만 오탐률이 낮습니다.
4. 부분 문서 일치: 여러 사용자가 작성한 여러 버전의 양식과 같이 특정 파일에서 전체 또는 부분 일치를 찾습니다.
5. 개념/어휘: 이러한 정책에서는 사전, 규칙 등을 조합하여 간단한 분류를 무시하는 완전히 구조화되지 않은 아이디어에 대해 경고할 수 있습니다. 제공된 DLP 솔루션에 맞게 사용자 지정해야 합니다.
6. 통계 분석: 기계 학습 또는 기타 통계 방법(예: Bayesian 분석)을 사용하여 보안 콘텐츠에서 정책 위반을 트리거합니다. 검사할 대용량의 데이터(클수록 좋음)가 필요합니다. 데이터가 부족할 경우 오탐 및 미탐이 발생하기 쉽습니다.
7. 미리 작성된 범주: 신용 카드 번호/PCI 보호, HIPAA 등과 같은 일반적인 유형의 중요한 데이터에 대한 규칙과 사전에 따라 미리 작성된 범주입니다.

오늘날 시장에는 다양한 유형의 콘텐츠 검사를 제공하는 수많은 기술이 있습니다. 한 가지 고려해야 할 사항은 많은 DLP 공급업체가 자체 콘텐츠 엔진을 개발했지만 일부는 DLP용으로 설계되지 않은 타사 기술을 사용한다는 것입니다. 예를 들어 DLP 공급업체는 신용 카드 번호에 대한 패턴 일치를 구축하는 대신 검색 엔진 공급자로부터 신용 카드 번호 패턴 일치 기술을 라이선싱할 수 있습니다. DLP 솔루션을 평가할 때 콘텐츠 엔진의 정확성을 확인하기 위해 중요한 데이터의 실제 모음에 대해 각 솔루션이 탐지하는 패턴 유형에 주의하십시오.

데이터 보안을 강화하는 DLP 모범 사례

DLP 모범 사례에는 기술, 프로세스 제어, 지식이 풍부한 직원 및 직원 인식이 결합되어 있습니다. 다음은 효과적인 DLP 프로그램 개발을 위한 권장 지침입니다.

1. 단일 중앙 집중식 DLP 프로그램 구현 - 다양한 부서와 사업부에서 구현되는 일관되지 않은 임시 DLP 사례 및 기술을 구현하는 조직이 많이 있습니다. 이러한 불일치로 인해 데이터 자산에 대한 가시성이 부족하고 데이터 보안이 취약해집니다. 또한 직원은 조직의 나머지 부서에서 지원하지 않는 부서 DLP 프로그램을 무시하는 경향이 있습니다.
2. 내부 리소스 평가 - 조직에서 DLP 계획을 수립하고 실행하려면 DLP 위험 분석, 데이터 침해 대응 및 보고, 데이터 보호법, DLP 교육 및 인식 등 DLP 전문 지식을 갖춘 인력이 필요합니다. 일부 정부 규정에 따라 조직은 내부 직원을 고용하거나 데이터 보호 지식을 갖춘 외부 컨설턴트를 유지해야 합니다. 예를 들어 GDPR에는 유럽 연합(EU) 소비자에게 제품 또는 서비스를 판매하거나 소비자의 동작을 모니터링하는 조직에 적용되는 조항이 포함되어 있습니다. GDPR은 컴플라이언스 감사 수행, DLP 성능 모니터링, 컴플라이언스 요구 사항에 대한 직원 교육, 조직과 컴플라이언스 당국 간의 연락 담당자 역할을 포함하여 DPO 책임을 맡을 수 있는 데이터 보호 책임자(DPO) 또는 직원을 규정합니다.
3. 인벤토리 및 평가 수행 -  데이터 유형과 조직에 대한 데이터의 가치 평가는 DLP 프로그램 구현의 중요한 초기 단계입니다. 여기에는 관련 데이터, 데이터 저장 위치 및 중요한 데이터(지적 재산, 기밀 정보 또는 규정에서 다루는 데이터)인지 여부를 식별하는 작업이 포함됩니다. 일부 DLP 제품에서는 파일의 메타데이터를 검사하고 결과를 카탈로그로 만들어 정보 자산을 신속하게 식별하거나, 필요한 경우 파일을 열어 콘텐츠를 분석할 수 있습니다. 다음 단계는 데이터가 유출된 경우 각 데이터 유형과 관련된 위험을 평가하는 것입니다. 추가 고려 사항에는 데이터 종료 지점과 데이터가 손실되는 경우에 조직에 발생할 수 있는 비용이 포함됩니다. 직원 복리후생 프로그램에 대한 정보가 유실되면 1,000개의 환자 의료 파일 또는 100,000개의 은행 계좌 번호 및 암호가 유실되는 것과는 다른 수준의 위험이 발생합니다.
4. 단계별 구현 -  DLP는 단계별로 구현하는 것이 가장 좋은 장기 프로세스입니다. 가장 효과적인 접근 방식은 데이터 유형과 통신 채널의 우선 순위를 지정하는 것입니다. 마찬가지로, DLP 소프트웨어 구성 요소 또는 모듈을 한 번에 모두 구현하지 않고 조직의 우선 순위에 따라 필요할 때 구현하는 것을 고려하십시오. 위험 분석과 데이터 인벤토리는 이러한 우선 순위를 설정하는 데 도움이 됩니다.
5. 분류 시스템 만들기 -  조직에서 DLP 정책을 만들고 실행하려면 먼저 구조화되지 않은 데이터와 구조화된 데이터 모두에 대한 데이터 분류 프레임워크 또는 분류가 필요합니다. 데이터 보안 범주에는 기밀, 내부, 공개, PII(개인 식별 정보), 금융 데이터, 규제되는 데이터, 지적 재산 등이 포함될 수 있습니다. DLP 제품은 조직에서 나중에 사용자 지정할 수 있는 미리 구성된 분류를 사용하여 데이터를 검사함으로써 데이터의 주요 범주를 식별하는 데 도움이 될 수 있습니다. DLP 소프트웨어가 분류를 자동화하고 가속화하는 동안 사람이 범주를 선택하고 사용자 지정합니다. 또한 콘텐츠 소유자는 간단한 키워드나 구문을 사용하여 식별할 수 없는 특정 유형의 콘텐츠를 시각적으로 평가할 수 있습니다.
6. 데이터 처리 및 복원 정책 설정 - 분류 프레임워크를 만든 후 다음 단계는 다양한 데이터 범주를 처리하기 위한 정책을 만들거나 업데이트하는 것입니다. 정부 요구 사항에서는 중요한 데이터를 처리하기 위한 DLP 정책을 지정합니다. DLP 솔루션은 일반적으로 HIPAA, GDPR과 같은 다양한 규정에 따라 사전 구성된 규칙 또는 정책을 적용합니다. 그런 다음 DLP 직원은 조직의 요구 사항에 맞게 정책을 사용자 지정할 수 있습니다. 정책을 관리하기 위해 DLP 적용 제품에서는 발신 채널(예: 이메일 및 웹 채팅)을 방지 및 모니터링하고 잠재적인 보안 침해를 처리하기 위한 옵션을 제공합니다. 예를 들어 직원이 중요한 파일이 첨부된 이메일을 보내려고 하면 메시지 암호화를 제안하는 팝업이 표시되거나 시스템에서 이메일을 완전히 차단하거나 관리자에게 리디렉션할 수 있습니다. 응답은 조직에서 설정한 규칙을 따릅니다.
7. 직원 교육 -  보안 정책 및 절차에 대한 직원의 인식과 동의는 DLP에 중요합니다. 클래스, 온라인 교육, 정기 이메일, 비디오, 논평과 같은 교육 및 훈련을 통해 직원은 데이터 보안의 중요성에 대해 이해하고 권장 DLP 모범 사례를 따르는 능력을 향상시킬 수 있습니다. 데이터 보안 침해에 대한 불이익은 특히 명확하게 정의된 경우 컴플라이언스를 개선할 수도 있습니다. SANS Institute는 다양한 데이터 보안 교육 및 인식 리소스를 제공합니다.