خرید نرم افزار جلوگیری از نشت اطلاعات DLP
بازار خرید نرم افزار جلوگیری ازنشت اطلاعات DLP سازمانی بالغ است، اما ظهور ویژگیهای امنیت اطلاعات بومی، اکوسیستم های ابری و رویکردهای تشخیص رفتاری متناوب، پویایی آن را تغییر میدهد.
رهبران SRM باید از این تحقیق برای ارزیابی روند بازار و تأثیر آنها بر استراتژی های امنیت اطلاعات استفاده کنند.
مروری بر یافته های کلیدی نرم افزار
- پیشگیری از نشت اطلاعات DLP در درجه اول یک فرآیند امنیتی کاملاً مشخص است که با پشتیبانی از فناوری تقویت میشود.
- پروژه های DLP که به ابتکارات یا اهداف خاصی وابسته نیستند، حاکمیت امنیت اطلاعات بی تجربه ای را به نمایش میگذارد. این منجر به تناقض در موارد کاربردی و پیش نیازها میشود، روند انتخاب فناوری DLP را دشوار میکند و به پروژه ها شانس ضعیفی میدهد.
- سازمانهایی که به مجموعه ای کامل از قابلیتهای DLP نیاز دارند یا روی یک مورد خاص استفاده، تمرکز میکنند، مانند DLP for email برای رعایت مقررات، در حال استفاده از DLP یکپارچه از جمله DLP بومی ابر هستند.
- سازمانهایی که به دنبال استفاده از قابلیتهای DLP در بیش از یک مورد استفاده، مانند endpoint, email و cloud هستند، به دلیل مزایای استفاده از پالیسی های متمرکز و قابل استفاده مجدد، مدیریت ساده و گزارشهای پیشرفته، راه حلهای DLP سازمانی را بکار میگیرند.
- سازمانهای کوچک و متوسط معمولاً برای پیاده سازی و راه اندازی ابزارهای DLP سازمانی و ارائه نتایج ملموس تلاش میکنند. مشاوره و خدمات DLP مدیریت شده میتوانند راهی برای ارزش گذاری ارائه دهند، اما نمیتوانند جایگزین دانش داخلی اطلاعات و مالکیت ریسک توسط واحدهای تجاری شوند.
توصیه ها
رهبران امنیت و مدیریت ریسک بعنوان مسئول امنیت و انطباق اطلاعات، بایستی:
- یک استراتژی DLP را تعریف کنند، محصولات DLP را انتخاب کرده و مفهوم کلی نرم افزار را با هدف پشتیبانی از یک فرآیند بجای یافتن راه حل برای رفع نیازهای مبرم و فوری، اجرا کنند.
- در اوایل فرآیند انتخاب فناوری، تعیین شود که آیا امنیت داده طولانی مدت و الزامات انطباق فقط با DLP یکپارچه قابل حل است یا اینکه DLP سازمانی رویکرد بهتری خواهد بود؟
- خدمات مشاوره ای و مدیریت شده را برای تسریع در زمان ارزش گذاری، و اجرای بهترین روشهای صنعت برای مدیریت قوانین و بررسی رویدادها، بویژه اگر سازمان آنها دارای پرسنل امنیتی IT و اطلاعات محدود باشد، بررسی شود.
پیشنهادات DLP
بازار جلوگیری از دست دادن اطلاعات سازمانی EDLP (Enterprise DLP) شامل پیشنهاداتی است که برای استفاده گسترده از اطلاعات و جابجایی در یک سازمان برای مجموعه گسترده ای از موارد استفاده، قابل مشاهده است.
این شامل اعمال پویای سیاستها بر اساس محتوا و متن در زمان اقدام بر روی داده ها است.
EDLP در تلاش است تا تهدیدهای مربوط به داده ها، از جمله خطرات سهوی یا تصادفی از دست دادن اطلاعات و در معرض خطر قرار گرفتن اطلاعات حساس را با استفاده از ویژگیهای نظارت، هشدار، مسدود کردن و سایر ویژگیهای اصلاح، برطرف کند.
راه حل های DLP از طبقه بندی کاربر محور، تکنیک های بازرسی محتوا و تجزیه و تحلیل متن، برای شناسایی محتوای حساس و تجزیه و تحلیل اقدامات مربوط به استفاده از آن محتوا، استفاده میکنند.
سپس فعالیت داده ها را رصد میکنند و مناسب بودن اقداماتی که علیه یک خط مشی از پیش تعیین شده DLP انجام میشود، را مورد استفاده قرار میدهد که جزئیات استفاده قابل قبول را در زمینه های خاص، برای انواع محتوای خاص یا طبقه بندی مشخص میکند.
پیشنهادات DLP بعنوان DLP سازمانی یا DLP یکپارچه دسته بندی میشوند:
نرم افزار DLP سازمانی، مدیریت سیاست و گزارش دهی متمرکز را برای تعریف، پخش و پایش سیاستهای DLP در یک یا چند سناریو استقرار مانند نقطه پایانی، شبکه، کشف و ابر و برای اجرای کنترلها ارائه میدهند.
– راه حلهای DLP سازمانی شامل تکنیکهای پیشرفته بازرسی محتوا برای شناسایی محتوای پیچیده و اعمال اصلاح میباشد.
– راهکار EDLP یک مجموعه راه حل استقرار گسترده و بسیار انعطاف پذیر ارائه میدهد که در بسیاری از موارد از جمله انطباق با مقررات، انطباق با سیاستهای داخلی و محافظت از مالکیت معنوی قابل استفاده است. (برای جزئیات به شکل زیر مراجعه کنید.)
راه حلهای نرم افزار DLP یکپارچه بطور بومی در یک دستگاه یا خدمات مانند یک محصول محافظت از email, web gateway و endpoint، ادغام شده اند.
– آنها معمولاً از قابلیت سیاستگذاری و گزارشگری محدودی برخوردارند و بر مدیریت عملکرد DLP در محیط واحد یا مورد استفاده متمرکز هستند.
– ارکستراسیون سیاستهای DLP یکپارچه با سایر راه حلهای یکپارچه یا EDLP یک فرایند دستی است و ادغام رویدادها بین چندین راه حل DLP یکپارچه بر دوش مشتری است.
ارائه خدمات امنیتی مدیریت شده برای DLP
نرم افزار DLP بعنوان یک سرویس مدیریت شده بیش از شش سال است که در دسترس است و ارائه دهندگان در این زمینه، محصولاتشان را بعنوان خدمات هاست یا مدیریت شده و یا در مدلهای تحویل “بعنوان سرویس” از طریق شرکا یا خود بصورت مستقل ارائه میدهند.
برخی از راه حلهای DLP که بعنوان سرویسهای مدیریت شده ارائه میشوند، بطور کامل روی cloud مستقر میباشند، در حالیکه سایرین از استقرار داخلی راهکار DLP و مدیریت از راه دور آن پشتیبانی میکنند.
در حالیکه مواردی وجود دارد که یک ارائه دهنده خدمات امنیتی (MSSP)، DLP را بعنوان یک سرویس مدیریت شده ارائه میدهد، مجموعه مهارتهای مورد نیاز و موارد استفاده که کاملاً با واحدهای تجاری سازگار باشد، استقرار را بسیار پیچیده میکند.
بیشتر MSSP ها ترجیح میدهند این مسئله را قبول نکنند. علاوه بر این، نگرانیهای حقوقی، منابع انسانی، نظارتی و اقامت اطلاعات میتواند بازدارنده های دیگری را برای استقرار منابع خارجی ایجاد کند زیرا اطلاعات DLP توسط شخص ثالث قابل دسترسی است.
سازمانها باید بررسی خود را در مورد خدمات مدیریت شده بر فروشندگان نرم افزار DLP که خودشان یا شرکای پیشنهادی خود، چنین خدماتی را ارائه میدهند متمرکز کنند.
قابلیت های بازرسی محتوا
محصولات DLP سازمانی با استفاده از فن آوریهای پیشرفته تشخیص داده، از بازرسی محتوای عمیق استفاده میکنند که فراتر از همسان سازی کلمات کلیدی ساده است.
این مولفه های مجاز یا توسعه یافته داخلی، زمینه را برای حمایت از بازرسی محتوا با استفاده از یک یا چند تکنیک فراهم میکنند:
- عبارات منظم پیشرفته
- کلمات کلیدی و فرهنگ لغت داده
- تطبیق سند جزئی
- سند انگشت نگاری
- تحلیل Bayes
- مطابقت متاداده
- تشخیص نوری شخصیت
- تشخیص تصویر پیشرفته
- نظارت بر نوع تشخیص نوع سند یادگیری ماشین
این قابلیتها اغلب با برچسب هایی همراه هستند که میتوانند بطور مداوم روی پرونده ها اعمال شوند و تنظیم سیاستها را در DLP و سایر ابزارهای امنیتی داده، تسهیل کنند.
مدیریت و کنترل پالیسی های DLP
محصولات DLP سازمانی از کنسولهای مدیریت داخلی یا مبتنی بر cloud با داده های اساسی پشتیبانی میکنند.
کنسولها رابط محصول DLP هستند و برای تعریف قوانین متن و محتوای DLP، سیاستهای DLP و بررسی رویدادها استفاده میشوند.
سیاستهای DLP را میتوان بگونه ای پیکربندی کرد که از انواع مختلف کنترل، تعاملات یا اصلاحات پشتیبانی کند. از جمله یک یا چند مورد زیر(شکل زیر):
- اجازه دهید یک عمل کامل شود زیرا هیچ پالیسیDLP قابل اجرا وجود ندارد یا این عمل مطابق با سیاست DLP است
- سند، ثبت، گزارش یا هشدار درباره اینکه کاربر در مورد اطلاعاتی که توسط DLP کنترل میشود اقدام غیرمجاز انجام داده است
- به کاربر در مورد یک اقدام متناوب هشدار یا آموزش دهید، زیرا عملکرد فعلی مطابق با پالیسی DLP نبوده و اطلاعات اضافی مربوط به عملکرد را در اختیار کاربر قرار میدهد
- قبل از مجاز بودن برای انجام عملی که با سیاست DLP مغایرت دارد، از کاربر بخواهید توجیهی ارائه دهد
- مسدود یا مانع از اتمام یک اقدام معین شوید زیرا این امر با سیاست از پیش تعیین شده DLP مغایرت دارد
- محافظت از محتوا با ایجاد رمزگذاری، ویرایش، لیبل گذاری با طبقه بندی اطلاعات
- محتوا را از مکانی که به نظر نامناسب است به مکان دیگری منتقل کنید، مثلا از یک درایو مشترک عمومی به یک پوشه رمزگذاری شده که برای دسترسی به آن، احراز هویت دو عاملی نیاز است.
- موارد قانونی یا اجرایی حساس را بررسی و سپس اعمال کنید.
از DLP میتوان برای مدیریت برنامه EDRM و ساده سازی تصمیماتی که باید توسط کاربران گرفته شود استفاده کرد، همانطورکه آنها در نظر میگیرند که کنترلهای EDRM را بر روی یک سند در یک متن خاص اعمال کنند.
EDRM از آنجاکه میتواند کنترل استفاده را اعمال کند مشابه DLP است و میتواند یک گزینه برای مواردی باشد که EDLP غیرعملی است.
گزینه های استقرار و پوشش کانال خروج
فروشندگان EDLP معمولاً از دو یا چند سناریوی استقرار زیر پشتیبانی میکنند:
بعنوان یک endpoint agent برای نظارت بر استفاده های از پیش تعریف شده از اطلاعات حساس، مانند:
- copy/ paste کردن بین برنامه ها
- ذخیره اطلاعات در دستگاه متصل یا اتصال دهنده دیگر مانند درایو USB یا تلفن هوشمند
- ارسال داده به خارج از طریق یک پروتکل شفاف یا رمزگذاری شده مانند chat service, web application, cloud storage, VPN یا سایر خدمات میزبان شخص ثالث
بعنوان یک وسیله سخت یا نرم در لبه محیط شبکه داخلی یا خارجی:
- محیط داخلی DLP میتواند برای کنترل حرکت محتوای حساس بین یک منطقه با اعتماد بالا و کم استفاده شود.
- محیط خارجی DLP توسط یک یا چند سرویس رو به بیرون استفاده میشود مانند ایمیل، وب یا CASB استفاده میشود تا محتوا را بازرسی کند و سیاستهای قابل اجرا را اعمال کند.
بعنوان یک سرویس مستقر بر cloud:
- رابط های DLP مستقر بر ابر، برای بازرسی محتوا و فعالیت شبکه، پالیسی قابل اجرای DLP را برای دستگاههای مدیریت شده خارج از شبکه شرکت اعمال میکنند.
- DLP مستقر بر ابر، همچنین میتواند کشف محتوا را برای برنامه های میزبان ابر انجام دهد تا محتوای حساس را کشف کند و پالیسی های DLP را اعمال کند.
بعنوان دستگاه کشف داده برای محتوای خاص شرکت:
– دستگاههای کشف داده بمنظور انجام اسکن محتوا یا کشف داراییها مانند محیط ذخیره سازی داخلی، سرور ایمیل یا مخزن پرونده استفاده میشوند.
بعنوان بخشی از کارگزار امنیت دسترسی ابری:
– در حالیکه نقش CASB گسترده تر از DLP است، اما اغلب راحت ترین نقطه اجرای سیاست DLP برای برنامه های رایج ابر سازمانی است.
فروشندگان بزرگ EDLP مانند Symantec ،Forcepoint و McAfee راه حلهای CASB را بدست آورده اند و در مراحل مختلف هماهنگ با نمونه کارهای DLP خود هستند.
موارد استفاده کلیدی برای DLP
استقرارهای EDLP معمولاً شامل موارد زیر میباشد. مشتریان باید بر روی الزاماتی منطبق با موارد استفاده مورد نظر و سناریوهای استقرار آنها تمرکز کنند و همه کانالهای خروجی مربوطه را برای محیط خود پوشش دهند.
موارد استفاده معمول شامل موارد زیر است:
رعایت مقررات:
- تطابق نظارتی استقرارهای DLP معمولاً بر یک الزام نظارتی خارجی اعمال شده در مورد بررسی و استفاده از داده های حساس تمرکز دارند. این تاکنون رایج ترین سناریوی استقرار DLP است.
- استقرارهای نرم افزار جلوگیری از امنیت اطلاعات DLP برای پیروی از مقررات معمولاً از محیط کانالهای ایمیل و شبکه شروع میشود.
برخی از سازمانها هرگز این استقرارها را از حد مجاز گسترش نمیدهند، اما بسیاری به دنبال گسترش DLP به برنامه های تأیید شده SaaS، پیاده سازی DLP تا endpoint و کشف اطلاعات هستند.
کشف داده ها به دلیل مقررات مربوط به حفظ حریم خصوصی بطور فزاینده ای محبوب است، اما از چندین بازار دیگر نیز در دسترس است.
- تقریباً همه راه حلهای DLP سیاستهای خارج از چارچوب DLP را پیکربندی کرده اند تا به سازمانها کمک کند تا با خرید نرم افزار DLP، آنرا با تمرکز بر رعایت مقررات به سرعت در محیط خود مستقر کنند.
محافظت از Soft IP:
- محافظت از Soft IP دومین مورد استفاده برای استقرار و خرید نرم افزار DLP است که اغلب با آن روبرو میشود. این بطور معمول به دنبال رسیدگی به نیازهای داخلی برای محافظت از اطلاعات مانند:
– ارتباطات داخلی حساس
– اسناد مربوط به نتایج مالی
– صورتجلسه
– اسناد حقوقی
– قراردادهای مشارکت
– برنامه های استراتژیک محصول و بازاریابی
– گزارشهای مشاوره ای
- محافظت از Soft IP معمولاً شامل قالبهای رایج اسناد اداری است و علاوه بر استقرار در محیط، شامل استقرار نقطه پایانی در جاییست که اطلاعات از آنجا منشا میگیرند یا بکار میروند.
- این نوع استقرار DLP میتواند چالش برانگیز باشد زیرا معمولاً به تجزیه و تحلیل اطلاعات مبتنی بر متن و بدون نشانگرها یا تمایزهایی که براحتی قابل شناسایی هستند، نیاز دارد.
بطور خاص، متن یک گروهبندی خاص از کلمات بجای تک تک کلمات بصورت جداگانه، تفاوت بین حساس بودن یا نبودن یک سند را ایجاد میکند.
بعضی اوقات میتوان از مصنوعاتی مانند ساختار اسناد یا سایر نشانگرها مانند برچسب حساسیت/ طبقه بندی داده ها استفاده کرد، به شرطی که بطور فعال نگهداری شوند.
این استقرارها بعنوان بخشی از تکنیکهای تشخیص DLP از اثر انگشت سند، تطبیق metadata و machine learning بطور فزاینده استفاده میکنند.
محافظت از Hard IP:
محافظت از Hard IP سومین مورد استقرار DLP است که معمولاً در صنایع مانند هوا فضا و دفاع، ساخت فناوری پیشرفته، شیمی و علوم زیستی شیوع بیشتری دارد.
سناریوهای محافظت از hard IP با نیاز به محافظت از مالکیت معنوی بسیار حساس بوجود می آیند و از نظر فنی چالش برانگیزترین استقرار DLP هستند.
این نوع مالکیت معنوی معمولاً نه تنها با اصطلاحات متنی ارجاع میشود، بلکه میتواند در قالبهای بومی و انتزاعی آن نیز نمایش داده شود.
برای مثال، تصویری از عنصر طراحی یک محصول میتواند به روشهای مختلف بیان شود. قالب اصلی آن در یک فایل طراحی رایانه ای (CAD)، سپس یک فایل تولیدی با کمک رایانه (CAM)، سپس یک PDF و در نهایت یک GIF یا JPEG موجود در یک سند میباشد.
تمام این نسخه ها در قالبهای مختلف ممکن است دارایی حساس یکسانی را نشان دهند و DLP باید بتواند به همان اندازه و به اندازه کافی همین محتوا را در تمام اشکال خود شناسایی کند.
استقرارهای DLP برای محافظت از hard IP اغلب در endpoint شروع میشوند.
از آنجا که بسیاری از کاربران سیار (mobile) هستند و اطلاعات حساس را در لپ تاپها و دستگاههای تلفن همراه خود میگیرند یا به آنها دسترسی دارند، نقطه پایانی بعنوان سناریوهای پرخطر برای بیشتر محیط ها نشان داده میشود.
برخی از فعالیتهای endpoint، مانند توسعه نرم افزار، بدون تأثیر بر عملکرد، میتوانند پیچیده باشند.
در مواردیکه سازمانها بدلیل نگرانی در مورد عملکرد، از نصب یک agent در ایستگاههای کاری راحت نباشند، DLP محیط داخلی ممکن است یک گزینه استقرار جایگزین یا تکمیل کننده DLP برای عوامل endpoint باشد.
حفاظت از hard IP شامل استفاده از بسیاری از قابلیتهای اصلی بازرسی DLP برای اسکن بخش متن داده های hard IP است و دارای قابلیتهای پیشرفته برای تجزیه و تحلیل تصاویر و یا محتوای غیر سنتی مانند فرمولهای شیمیایی است.
توصیه های بازار خرید نرم افزار DLP
سازمانهایی که قصد خرید نرم افزار DLP را دارند و میخواهند DLP را فقط در یک مورد استفاده کنند- مانند DLP for email – میتوانند با یک راه حل DLP یکپارچه به خوبی سرویس دهی شوند.
با اینحال، سازمانهایی که معتقدند سناریوهای استقرار میتوانند در میان مدت گسترش یافته و شامل استفاده مازاد از DLP شوند، باید یک محصول DLP سازمانی را مستقر کنند.
آنها بایستی نسبت به خرید نرم افزار پیشگیری از نشت اطلاعات DLP اقدام نمایند تا از موارد استفاده چندگانه با کاهش میزان تنظیم پالیسی دستی و دید بهتر در موارد استفاده تحت نظارت پشتیبانی کند.
قبل از خرید نرم افزار DLP، سازمان باید استراتژی را تعریف کند که به دنبال جلوگیری از اشتباهات یا دشواریهای متداول در هنگام استقرار باشد:
- نرم افزار DLP بعنوان بخشی از یک برنامه امنیتی، باید براساس سیاستهای سازمانی تنظیم شده و با سایر اقدامات امنیتی و انطباق همسو باشد.
محافظت از داده ها قلمرو انحصاری فناوریهای DLP نیست و حاکمیت امنیت داده میتواند کمک کند که مجموع این اقدامات بیشتر از قسمتهای آن باشد.
DLP باید بعنوان یک فرآیند امنیتی کاملاً مشخص، دیده شود.
نرم افزار DLP باید بعنوان یک فرآیند امنیتی کاملاً مشخص، دیده شود که توسط فناوری پشتیبانی ساپورت میشود و این فرآیند باید شامل اطلاعات تجاری و صاحبان فرآیند باشد در غیر اینصورت، کنترلهای بکار رفته ممکن است تأثیر منفی بر روند کسب و کار داشته باشند.
تیمهای فناوری اطلاعات و امنیتی ریسک تجاری ندارند و چنین اقدامات نادرست اولیه میتواند تأخیر ایجاد کند یا اثربخشی استقرار را محدود کند و همچنین تلاشهای قابل توجهی برای بازیابی از آن ضروری است.
طبقه بندی داده ها برای امنیت و انطباق اطلاعات اساسی است.
بدون طبقه بندی یا قوانین بازرسی محتوا برای شناسایی اطلاعات حساس در محیط، سیگنال دریافت شده از ابزار DLP بسیار پر سر و صدا است.
قوانین دقیق طبقه بندی یا بازرسی محتوا از موارد مثبت کاذب که باعث ایجاد مشکلات تجاری میشود جلوگیری نموده و از اعمال کنترلهای پیشگیرانه و منفی های کاذب که از موثر بودن آن کنترلها جلوگیری میکند جلوگیری بعمل می آورد.
اجرای DLP در محیطهای بی نظم و کنترل نشده دشوار است.
اگر اطلاعات حساس بدرستی مدیریت نشوند و در سازمان پراکنده شوند، اگر مدیریت دسترسی به اطلاعات اساسی وجود نداشته باشد یا فرآیندهای این داده ها بخوبی تعریف نشده باشند، سیگنال از ابزار نرم افزار DLP بسیار مبهم خواهد بود.
در این حالت، هیچ الگوریتم تشخیص انسانی یا رفتاری قادر به رمزگشایی درست از اشتباه و اجرای کنترلهای فعال نخواهد بود.
پیاده سازی طبقه بندی اطلاعات نتایج عملی در بر نخواهد داشت.
اکثر پیاده سازی های طبقه بندی داده ها بطور غیر منتظره ای پیچیده ادامه دارند و نمیتوانند نتایج عملی بدست آورند.
CISO ها و رهبران امنیت اطلاعات باید طرحها، ابزارهای اهرمی را ساده کرده و امکان انعطاف پذیری پیاده سازی را برای ارزش گذاری طبقه بندی برای کل سازمان فراهم کنند.
در این زمینه لازم است موارد زیر را بخاطر بسپارید:
– اگر کاربران آن را درک نکنند، از آن استفاده نمیکنند
– ساده نگه دارید
– در برابر اصرار برای گسترش طرح طبقه بندی، مقاومت کنید
– به داده فراتر از طبقه بندی نگاه کنید
– طبقه بندی داده ها را با امنیت داده ها برابر نکنید
– تشخیص دهید که طبقه بندی ممکن است با گذشت زمان تغییر کند
– در محدودیتهای شناخته شده طبقه بندی داده ها و سازمان خود کار کنید
– تمرکز بر طبقه بندی داده ها بر روی موضوعات خاص و بودجه کسب و کار
از خدمات مشاوره ای و مدیریت شده استفاده کنید.
از خدمات مشاوره ای و مدیریت شده برای تسریع در زمان ارزش گذاری و تقویت بخشهای ناب IT و امنیتی استفاده کنید.
مرزهای این سرویسها و نقاط تماس را کنترل کنید تا مطمئن شوید که رابط کافی با دارندگان اطلاعات و پردازشها در سازمان برای پشتیبانی از یک روند موثر جلوگیری از دست دادن اطلاعات وجود دارد. در غیر اینصورت، ممکن است مزایای اجرای نرم افزار DLP را محدود کند.
متخصصین شرکت داده پایش کارن راه حلهایی دارند که از یک یا چند نوع استقرار (نقطه پایانی، شبکه، کشف و ابر) پشتیبانی میکند، همچنین از بیش از یک برنامه پشتیبانی میکند و میتواند در بیش از یک کانال خروجی اعمال شود.