بازار خرید نرم افزار جلوگیری ازنشت اطلاعات DLP سازمانی بالغ است، اما ظهور ویژگیهای امنیت اطلاعات بومی، اکوسیستمهای ابری و رویکردهای تشخیص رفتاری متناوب، پویایی آنرا تغییر میدهد.
رهبران SRM باید از این تحقیق برای ارزیابی روند بازار و تأثیر آنها بر استراتژیهای امنیت اطلاعات استفاده کنند.
مروری بر یافته های کلیدی نرم افزار
- پیشگیری از نشت اطلاعات DLP در درجه اول یک فرآیند امنیتی کاملاً مشخص است که با پشتیبانی از فناوری تقویت میشود.
- پروژههای DLP که به ابتکارات یا اهداف خاصی وابسته نیستند، حاکمیت امنیت اطلاعات بی تجربهای را به نمایش میگذارد. این منجر به تناقض در موارد کاربردی و پیش نیازها میشود، روند انتخاب فناوری DLP را دشوار میکند و به پروژه ها شانس ضعیفی میدهد.
- سازمانهایی که به مجموعه ای کامل از قابلیتهای DLP نیاز دارند یا روی یک مورد خاص استفاده، تمرکز میکنند، مانند DLP for email برای رعایت مقررات، در حال استفاده از DLP یکپارچه از جمله DLP بومی ابر هستند.
- شرکتهایی که بدنبال استفاده از قابلیتهای DLP در بیش از یک مورد استفاده، مانند endpoint, email و cloud هستند، بدلیل مزایای استفاده از پالیسیهای متمرکز و قابل استفاده مجدد، مدیریت ساده و گزارشهای پیشرفته، راه حلهای DLP سازمانی را بکار میگیرند.
- سازمانهای کوچک و متوسط معمولاً برای پیاده سازی و راه اندازی ابزارهای DLP سازمانی و ارائه نتایج ملموس تلاش میکنند. مشاوره و خدمات DLP مدیریت شده میتوانند راهی برای ارزش گذاری ارائه دهند، اما نمیتوانند جایگزین دانش داخلی اطلاعات و مالکیت ریسک توسط واحدهای تجاری شوند.
توصیه ها
رهبران امنیت و مدیریت ریسک بعنوان مسئول امنیت و انطباق اطلاعات، بایستی:
- یک استراتژی DLP را تعریف کنند، محصولات DLP را انتخاب کرده و مفهوم کلی نرم افزار را با هدف پشتیبانی از یک فرآیند بجای یافتن راه حل برای رفع نیازهای مبرم و فوری، اجرا کنند.
- ابتدای فرآیند انتخاب فناوری، تعیین شود که آیا امنیت داده طولانی مدت و الزامات انطباق فقط با DLP یکپارچه قابل حل است یا اینکه DLP سازمانی رویکرد بهتری خواهد بود؟
- خدمات مشاوره ای و مدیریت شده را برای تسریع در زمان ارزش گذاری، و اجرای بهترین روشهای صنعت برای مدیریت قوانین و بررسی رویدادها، بویژه اگر سازمان آنها دارای پرسنل امنیتی IT و اطلاعات محدود باشد، بررسی شود.
پیشنهادات DLP
بازار جلوگیری از دست دادن اطلاعات سازمانی EDLP (Enterprise DLP) شامل پیشنهاداتی است که برای استفاده گسترده از اطلاعات و جابجایی در یک سازمان برای مجموعه گسترده ای از موارد استفاده، قابل مشاهده است.
این شامل اعمال پویای سیاستها بر اساس محتوا و متن در زمان اقدام بر روی داده ها است.
EDLP در تلاش است تا تهدیدهای مربوط به داده ها، از جمله خطرات سهوی یا تصادفی از دست دادن اطلاعات و در معرض خطر قرار گرفتن اطلاعات حساس را با استفاده از ویژگیهای نظارت، هشدار، مسدود کردن و سایر ویژگیهای اصلاح، برطرف کند.
راه حلهای DLP از طبقه بندی کاربر محور، تکنیکهای بازرسی محتوا و تجزیه و تحلیل متن، برای شناسایی محتوای حساس و تجزیه و تحلیل اقدامات مربوط به استفاده از آن محتوا، استفاده میکنند.
سپس فعالیت دادهها را رصد میکنند و مناسب بودن اقداماتی که علیه یک پالیسی از پیش تعیین شده DLP انجام میشود، را مورد استفاده قرار میدهد که جزئیات استفاده قابل قبول را در زمینه های خاص، برای انواع محتوای خاص یا طبقه بندی مشخص میکند.
پیشنهادات DLP بعنوان DLP سازمانی یا DLP یکپارچه دسته بندی میشوند:
نرم افزار DLP سازمانی، مدیریت سیاست و گزارش دهی متمرکز را برای تعریف، پخش و پایش سیاستهای DLP در یک یا چند سناریو استقرار مانند نقطه پایانی، شبکه، کشف و ابر و برای اجرای کنترلها ارائه میدهند.
– راهحلهای DLP سازمانی شامل تکنیکهای پیشرفته بازرسی محتوا برای شناسایی محتوای پیچیده و اعمال اصلاح میباشد.
– سولوشن EDLP یک مجموعه راه حل استقرار گسترده و بسیار انعطاف پذیر ارائه میدهد که در بسیاری از موارد از جمله انطباق با مقررات، انطباق با سیاستهای داخلی و محافظت از مالکیت معنوی قابل استفاده است. (برای جزئیات به شکل زیر مراجعه کنید.)
راهکار نرم افزار DLP یکپارچه بطور بومی در یک دستگاه یا خدمات مانند یک محصول محافظت از email, web gateway و endpoint، ادغام شده اند.
– آنها معمولاً از قابلیت سیاست گذاری و گزارشگری محدودی برخوردارند و بر مدیریت عملکرد DLP در محیط واحد یا مورد استفاده متمرکز هستند.
– ارکستراسیون سیاستهای DLP یکپارچه با سایر راه حلهای یکپارچه یا EDLP یک فرایند دستی است و ادغام رویدادها بین چندین راه حل DLP یکپارچه بر دوش مشتری است.
ارائه خدمات امنیتی مدیریت شده برای DLP
راهکار DLP بعنوان یک سرویس مدیریت شده بیش از شش سال است که در دسترس است و ارائه دهندگان در این زمینه، محصولاتشان را بعنوان خدمات هاست یا مدیریت شده و یا در مدلهای تحویل “بعنوان سرویس” از طریق شرکا یا خود بصورت مستقل ارائه میدهند.
برخی از راه حلهای DLP که بعنوان سرویسهای مدیریت شده ارائه میشوند، بطور کامل روی cloud مستقر میباشند، در حالیکه سایرین از استقرار داخلی راهکار DLP و مدیریت از راه دور آن پشتیبانی میکنند.
مواردی وجود دارد که یک ارائه دهنده خدمات امنیتی (MSSP)، DLP را بعنوان یک سرویس مدیریت شده ارائه میدهد، مجموعه مهارتهای موردنیاز و موارد استفاده که کاملاً با واحدهای تجاری سازگار باشد، استقرار را بسیار پیچیده میکند.
بیشتر MSSP ها ترجیح میدهند این مسئله را قبول نکنند. علاوه بر این، نگرانیهای حقوقی، منابع انسانی، نظارتی و اقامت اطلاعات میتواند بازدارنده های دیگری را برای استقرار منابع خارجی ایجاد کند زیرا اطلاعات DLP توسط شخص ثالث قابل دسترسی است.
شرکتها باید بررسی خود را در مورد خدمات مدیریت شده بر فروشندگان نرم افزار DLP که خودشان یا شرکای پیشنهادی خود، چنین خدماتی را ارائه میدهند متمرکز کنند.
قابلیتهای بازرسی محتوا
محصولات DLP سازمانی با استفاده از فن آوریهای پیشرفته تشخیص داده، از بازرسی محتوای عمیق استفاده میکنند که فراتر از همسان سازی کلمات کلیدی ساده است.
این مولفه های مجاز یا توسعه یافته داخلی، زمینه را برای حمایت از بازرسی محتوا با استفاده از یک یا چند تکنیک فراهم میکنند:
- عبارات منظم پیشرفته
- کلمات کلیدی و فرهنگ لغت داده
- تطبیق سند جزئی
- سند انگشت نگاری
- تحلیل Bayes
- مطابقت متاداده
- تشخیص نوری شخصیت
- تشخیص تصویر پیشرفته
- نظارت بر نوع تشخیص نوع سند یادگیری ماشین
این قابلیتها اغلب با برچسب هایی همراه هستند که میتوانند بطور مداوم روی فایلها اعمال شوند و تنظیم سیاستها را در DLP و سایر ابزارهای امنیتی داده، تسهیل کنند.
مدیریت و کنترل پالیسی های DLP
محصولات DLP سازمانی از کنسولهای مدیریت داخلی یا مبتنی بر cloud با داده های اساسی پشتیبانی میکنند.
کنسولها رابط محصول DLP هستند و برای تعریف قوانین متن و محتوای DLP، سیاستهای DLP و بررسی رویدادها استفاده میشوند.
سیاستهای DLP را میتوان بگونه ای پیکربندی کرد که از انواع مختلف کنترل، تعاملات یا اصلاحات پشتیبانی کند. از جمله یک یا چند مورد زیر(شکل زیر):
- اجازه دهید یک عمل کامل شود زیرا هیچ پالیسی DLP قابل اجرا وجود ندارد یا این عمل مطابق با سیاست DLP است
- سند، ثبت، گزارش یا هشدار درباره اینکه کاربر در مورد اطلاعاتی که توسط DLP کنترل میشود اقدام غیرمجاز انجام داده است
- به کاربر در مورد یک اقدام متناوب هشدار یا آموزش دهید، زیرا عملکرد فعلی مطابق با پالیسی DLP نبوده و اطلاعات اضافی مربوط به عملکرد را در اختیار کاربر قرار میدهد
- قبل از مجاز بودن برای انجام عملی که با سیاست DLP مغایرت دارد، از کاربر بخواهید توجیهی ارائه دهد
- مسدود یا مانع از اتمام یک اقدام معین شوید زیرا این امر با سیاست از پیش تعیین شده DLP مغایرت دارد
- محافظت از محتوا با ایجاد رمزگذاری، ویرایش، لیبل گذاری با طبقه بندی اطلاعات
- محتوا را از مکانی که به نظر نامناسب است به مکان دیگری منتقل کنید، مثلا از یک درایو مشترک عمومی به یک پوشه رمزگذاری شده که برای دسترسی به آن، احراز هویت دو عاملی نیاز است.
- موارد قانونی یا اجرایی حساس را بررسی و سپس اعمال کنید.
از DLP میتوان برای مدیریت برنامه EDRM و ساده سازی تصمیماتی که باید توسط کاربران گرفته شود استفاده کرد، همانطورکه آنها در نظر میگیرند که کنترلهای EDRM را بر روی یک سند در یک متن خاص اعمال کنند.
EDRM از آنجاکه میتواند کنترل استفاده را اعمال کند مشابه DLP است و میتواند یک گزینه برای مواردی باشد که EDLP غیرعملی است.
گزینه های استقرار و پوشش کانال خروج
فروشندگان EDLP معمولاً از دو یا چند سناریوی استقرار زیر پشتیبانی میکنند:
یک endpoint agent برای نظارت بر استفاده های از پیش تعریف شده از اطلاعات حساس، مانند:
- copy/ paste کردن بین برنامه ها
- ذخیره اطلاعات در دستگاه متصل یا اتصال دهنده دیگر مانند درایو USB یا تلفن هوشمند
- ارسال داده به خارج از طریق یک پروتکل شفاف یا رمزگذاری شده مانند chat service, web application, cloud storage, VPN یا سایر خدمات میزبان شخص ثالث
وسیلهای سخت یا نرم در لبه محیط شبکه داخلی یا خارجی:
- محیط داخلی DLP میتواند برای کنترل حرکت محتوای حساس بین یک منطقه با اعتماد بالا و کم استفاده شود.
- محیط خارجی DLP توسط یک یا چند سرویس رو به بیرون استفاده میشود مانند ایمیل، وب یا CASB استفاده میشود تا محتوا را بازرسی کند و سیاستهای قابل اجرا را اعمال کند.
سرویس مستقر بر cloud:
- رابط های DLP مستقر بر ابر، برای بازرسی محتوا و فعالیت شبکه، پالیسی قابل اجرای DLP را برای دستگاههای مدیریت شده خارج از شبکه شرکت اعمال میکنند.
- DLP مستقر بر ابر، همچنین میتواند کشف محتوا را برای برنامه های میزبان ابر انجام دهد تا محتوای حساس را کشف کند و پالیسی های DLP را اعمال کند.
دستگاه کشف داده برای محتوای خاص شرکت:
دستگاههای کشف داده بمنظور انجام اسکن محتوا یا کشف داراییها مانند محیط ذخیره سازی داخلی، سرور ایمیل یا مخزن پرونده استفاده میشوند.
بخشی از کارگزار امنیت دسترسی ابری:
اگرچه نقش CASB گسترده تر از DLP است، اما اغلب راحتترین نقطه اجرای پالیسی DLP برای برنامههای رایج ابر سازمانی است.
فروشندگان بزرگ EDLP مانند Symantec ،Forcepoint و McAfee راه حلهای CASB را بدست آورده اند و در مراحل مختلف هماهنگ با نمونه کارهای DLP خود هستند.
توصیه های بازار خرید نرم افزار DLP
شرکتهایی که قصد خرید نرم افزار DLP را دارند و میخواهند DLP را فقط در یک مورد استفاده کنند.
مانند DLP for email – میتوانند با یک راه حل DLP یکپارچه بخوبی سرویس دهی شوند.
با اینحال، سازمانهایی که معتقدند سناریوهای استقرار میتوانند در میان مدت گسترش یافته و شامل استفاده مازاد از DLP شوند، باید یک محصول DLP سازمانی را مستقر کنند.
آنها بایستی نسبت به خرید نرم افزار پیشگیری از نشت اطلاعات DLP اقدام نمایند تا از موارد استفاده چندگانه با کاهش میزان تنظیم پالیسی دستی و دید بهتر در موارد استفاده تحت نظارت پشتیبانی کند.
قبل از خرید نرم افزار DLP، سازمان باید استراتژی را تعریف کند که بدنبال جلوگیری از اشتباهات یا دشواریهای متداول در هنگام استقرار باشد:
- نرم افزار DLP بعنوان بخشی از یک برنامه امنیتی، باید براساس سیاستهای سازمانی تنظیم شده و با سایر اقدامات امنیتی و انطباق همسو باشد.
- محافظت از دادهها قلمرو انحصاری فناوریهای DLP نیست و حاکمیت امنیت داده میتواند کمک کند که مجموع این اقدامات بیشتر از قسمتهای آن باشد.
DLP باید بعنوان یک فرآیند امنیتی کاملاً مشخص، دیده شود.
سولوشن DLP باید بعنوان یک فرآیند امنیتی کاملاً مشخص، دیده شود که توسط فناوری پشتیبانی ساپورت میشود.
این فرآیند باید شامل اطلاعات تجاری و صاحبان فرآیند باشد درغیر اینصورت، کنترلهای بکار رفته ممکن است تأثیر منفی بر روند کسب و کار داشته باشند.
تیمهای IT ریسک تجاری ندارند و چنین اقدامات نادرست اولیه میتواند تأخیر ایجاد کند یا اثربخشی استقرار را محدود کند.
همچنین تلاشهای قابل توجهی برای بازیابی از آن ضروری است.
طبقه بندی داده ها برای امنیت و انطباق اطلاعات اساسی است.
بدون طبقه بندی یا قوانین بازرسی محتوا برای شناسایی اطلاعات حساس در محیط، سیگنال دریافت شده از ابزار DLP بسیار پر سر و صدا است.
قوانین دقیق طبقه بندی یا بازرسی محتوا از موارد مثبت کاذب که باعث ایجاد مشکلات تجاری میشود جلوگیری نموده و از اعمال کنترلهای پیشگیرانه و منفیهای کاذب که از موثر بودن آن کنترلها جلوگیری میکند ممانعت بعمل می آورد.
اجرای DLP در محیطهای بی نظم و کنترل نشده دشوار است.
اگر اطلاعات حساس بدرستی مدیریت نشوند و در سازمان پراکنده شوند، اگر مدیریت دسترسی به اطلاعات اساسی وجود نداشته باشد یا فرآیندهای این دادهها بخوبی تعریف نشده باشند، سیگنال از ابزار نرم افزار DLP بسیار مبهم خواهد بود.
در اینحالت، هیچ الگوریتم تشخیص انسانی یا رفتاری قادر به رمزگشایی درست از اشتباه و اجرای کنترلهای فعال نخواهد بود.
پیاده سازی طبقه بندی اطلاعات نتایج عملی در بر نخواهد داشت.
اکثر پیاده سازیهای طبقه بندی دادهها بطور غیرمنتظره ای پیچیده ادامه دارند و نمیتوانند نتایج عملی بدست آورند.
CISO ها و رهبران امنیت اطلاعات باید طرحها، ابزارهای اهرمی را ساده کرده و امکان انعطاف پذیری پیاده سازی را برای ارزش گذاری طبقه بندی برای کل سازمان فراهم کنند.
لازم است موارد زیر را بخاطر بسپارید:
– اگر کاربران آن را درک نکنند، از آن استفاده نمیکنند
– ساده نگه دارید
– برابر اصرار برای گسترش طرح طبقه بندی، مقاومت کنید
– به داده فراتر از طبقه بندی نگاه کنید
– طبقه بندی دادهها را با امنیت دادهها برابر نکنید
– تشخیص دهید که طبقه بندی ممکن است با گذشت زمان تغییر کند
– محدودیتهای شناخته شده طبقه بندی دادهها و سازمان خود را بررسی کنید
– تمرکز بر طبقه بندی داده ها بر روی موضوعات خاص و بودجه کسب و کار
از خدمات مشاوره ای و مدیریت شده استفاده کنید.
از خدمات مشاوره ای و مدیریت شده برای تسریع در زمان ارزش گذاری و تقویت بخشهای ناب IT و امنیتی استفاده کنید.
مرزهای این سرویسها و نقاط تماس را کنترل کنید تا مطمئن شوید که رابط کافی با دارندگان اطلاعات و پردازشها در سازمان وجود دارد.
در غیر اینصورت، ممکن است مزایای اجرای نرم افزار DLP را محدود کند.
متخصصین امنیت شرکت داده پایش کارن راه حلهایی دارند که از یک یا چند نوع استقرار (نقطه پایانی، شبکه، کشف و ابر) پشتیبانی میکند، همچنین از بیش از یک برنامه پشتیبانی میکند و میتواند در بیش از یک کانال خروجی اعمال شود.
