Software de prevención de pérdida de datos
Solución de prevención de pérdidas, fuga de datos es un sistema que está diseñado para detectar posible brecha de datos / transmisiones de datos ex-filtración y prevenirlos de monitoreo, detección y bloqueo de datos sensibles al mismo tiempo en uso (acciones) del extremo, en movimiento (el tráfico de red), y en reposo (almacenamiento de datos). En incidentes de pérdida de datos, datos confidenciales es revelados a personas no autorizadas o por error inadvertido o intención maliciosa. Tales datos sensibles pueden venir en forma de privado o información de la empresa, propiedad intelectual (IP), información financiera o paciente, datos de tarjetas de crédito y otra información según el negocio y la industria.
Los términos "pérdida de datos" y "fuga de datos" están estrechamente relacionados y a menudo se utilizan indistintamente, aunque son un poco diferentes.[1] Incidentes de pérdida de datos convierten en datos de incidentes de fuga en casos donde los medios de comunicación que contenga información sensible es perdido y posteriormente adquirida por parte no autorizada. Sin embargo, una fuga de datos es posible sin los datos en el lado originario. Otros términos asociados a prevención de fuga de datos son prevención y detección de fugas de información (JILP), prevención de fuga de información (ILP), monitoreo y contenido de filtrado (CMF), control y protección de la información (IPC), y sistema de prevención de extrusión (EPS), en contraposición a sistema de prevención de intrusiones.
Contenido
- 1 Categorías DLP
- 1.1 Medidas de seguridad estándar
- 1.2 Medidas de seguridad avanzadas
- 1.3 Designado soluciones DLP
- 2 Tipos de sistemas DLP
- 2.1 Red DLP (a.k.a. datos en movimiento < DiM >)
- 2.2 Endpoint DLP (a.k.a. datos en uso < DiU >)
- 2.3 Identificación de datos
- 2.4 Detección de fugas de datos
- 2.5 Datos en reposo
- 3 Referencias
- 4 Enlaces externos
Categorías DLP
El tecnológico significa empleado para tratar los datos de incidentes de fuga pueden dividirse en las siguientes categorías: medidas de seguridad estándar, las medidas de seguridad avanzadas/inteligente, control de acceso y encriptación y sistemas DLP designados.[2]
Medidas de seguridad estándar
Las medidas de seguridad estándar, tales como firewalls, sistemas de detección de intrusiones (IDS) y software antivirus, son comúnmente disponibles mecanismos que protegen los ordenadores contra intruso así como ataques de información privilegiada. El uso de cortafuegos, por ejemplo, limita el acceso de extraños a la red interna, y un sistema de detección de intrusos detecta intentos de intrusión por foráneos. Ataques de interior pueden evitarse a través de exploraciones antivirus que detectan troyanos instalados en PCs que envían información confidencial, y por el uso de clientes ligeros, que operan en una arquitectura cliente-servidor con ningún dato personal o sensible almacenado en un ordenador cliente
Medidas de seguridad avanzadas
Aprender a utilizar la máquina de las medidas de seguridad avanzada y algoritmos para detectar anormal acceso a datos (por ejemplo, bases de datos o sistemas de recuperación de información) o intercambio de correo electrónico anormal del razonamiento espacio-temporal, honeypots para detectar al personal cualificado con intenciones maliciosas y verificación basada en la actividad (por ejemplo, reconocimiento de la dinámica de pulsaciones de teclas) para detectar anormal acceso a datos.
Designado soluciones DLP
Soluciones DLP designadas detectan y prevenir intentos no autorizados para copiar o enviar datos sensibles, intencional o no intencionalmente, sin autorización, principalmente por personal que están autorizados a acceder a la información sensible. Para clasificar determinada información tan sensible, estas soluciones usar mecanismos, como la coincidencia de datos exactos, datos estructurados toma de huellas dactilares, métodos estadísticos, regla y coincidencia de expresión regular, publicaron léxicos, definiciones conceptuales y palabras clave.[3]
Tipos de sistemas DLP
Red DLP (a.k.a. datos en movimiento < DiM >)
Típicamente un software o hardware de solución que se instala en puntos de salida de la red cerca del perímetro. Se analiza el tráfico de red para detectar datos confidenciales que se envían en violación de las políticas de seguridad de la información.
Endpoint DLP (a.k.a. datos en uso < DiU >)
Estos sistemas funcionan en estaciones de trabajo del usuario final o los servidores de la organización. Como sistemas basados en red, basado en extremo puede dirección interna así como las comunicaciones externas y por lo tanto puede utilizarse para controlar el flujo de información entre los grupos o tipos de usuarios (por ejemplo 'Murallas chinas'). También pueden controlar correo electrónico y Mensajería instantánea comunicaciones antes de que se almacenan en el archivo corporativo, tal que una comunicación bloqueada (es decir, uno que nunca fue enviado y por lo tanto, no sujeta a retención reglas) no será identificada en una situación posterior descubrimiento legal. Endpoint sistemas tienen la ventaja de que pueden controlar y control de acceso a dispositivos físicos (por ejemplo, los dispositivos móviles con capacidades de almacenamiento de datos) y en algunos casos puede acceder a información antes de que ha sido encriptado. Algunos sistemas basados en extremo también pueden proporcionar controles de aplicación para bloquear el intento de las transmisiones de información confidencial y proporcionar retroalimentación inmediata al usuario. Tienen el inconveniente de que necesitan para ser instalado en cada estación de trabajo en la red, no puede utilizarse en dispositivos móviles (por ejemplo, teléfonos móviles y PDAs) o donde ellos no pueden instalarse prácticamente (por ejemplo en una estación de trabajo en un café internet).
Identificación de datos
DLP soluciones incluyen una serie de técnicas para la identificación de información confidencial o sensible. A veces confundido con el descubrimiento, identificación de datos es un proceso mediante el cual las organizaciones utilizan una tecnología DLP para determinar qué buscar (en movimiento, en reposo, o en uso).
Datos se clasifican como estructurado o no estructurado. Datos estructurados residen en campos fijos dentro de un archivo como una hoja de cálculo mientras que los datos no estructurados se refieren al texto de forma libre como en documentos de texto o archivos PDF.[4] Se estima que 80% de todos los datos está desestructurado y 20% a estructurarse.[5] Clasificación de datos se divide en Análisis de contenido, se centró en datos estructurados, y análisis contextual que se ve en el lugar de origen o la aplicación o el sistema que genera los datos.[6]
Métodos para describir contenido sensible son abundantes. Pueden ser divididos en dos categorías: métodos precisos y métodos imprecisos.
Métodos precisos son, por definición, aquellos que involucran contenido registro y desencadenar casi cero incidentes positivos falsos.
Todos los demás métodos son imprecisa y pueden incluir: palabras clave, léxicos, expresiones regulares, las expresiones regulares extendidas, etiquetas de meta datos, análisis bayesiano, análisis estadístico como aprendizaje de máquina, etc..[7]
La fuerza del motor de análisis se correlaciona directamente con su precisión. La precisión de la identificación de DLP es importante para reducir/evitar falsos positivos y negativos. Precisión puede depender de muchas variables, algunas de las cuales pueden ser situacional o tecnológico. Se recomienda la prueba de precisión para asegurar que una solución tiene virtualmente cero falsos positivos/negativos. Altas tasas positivas falsas hará que el sistema sea DLD no DLP.
Detección de fugas de datos
A veces un distribuidor de datos da datos sensibles a un conjunto de terceros. Algún tiempo después, algunos de los datos se encuentra en un lugar no autorizado (por ejemplo, en la web o en la computadora de un usuario). El distribuidor entonces debe investigar si datos filtraron de uno o más de las terceras partes, o si se recolectó independientemente por otros medios.[8]
Datos en reposo
"Los datos en reposo" específicamente se refieren a información archivada antigua almacenada en cualquier PC cliente nuestro disco duro, en una unidad de almacenamiento de red o servidor de archivos remoto o incluso los datos almacenados en un sistema de copia de seguridad, como una cinta o CD de. Esta información es de gran preocupación para las empresas e instituciones gubernamentales simplemente porque los datos ya quedos no utilizados en el almacenamiento, más probable es podría ser obtenido por personas no autorizadas fuera de la red. [9]
Referencias
- ^ Asaf Shabtai, Yuval Elovici, Lior Rokach, Un estudio de detección de fugas de datos y soluciones de prevención deIncorporado springer-Verlag New York, 2012
- ^ Phua, C., Organizaciones de protección de las violaciones de datos personalesFraude informático y la seguridad, 1:13-18, 2009
- ^ Ouellet, E., Magic Quadrant for Content-Aware datos pérdida RA4 prevención, informe técnico, 06242010, RAS Gartner Research Core, 2012
- ^ https://www.pcmag.com/Encyclopedia/term/53486/Unstructured-Data
- ^ Brian E. Burke, "encuesta sobre protección de la información y Control: tendencias de cifrado y Data Loss Prevention," IDC, mayo de 2008
- ^ https://securosis.com/assets/Library/Reports/DLP-Whitepaper.pdf
- ^ https://www.gtbtechnologies.com/en/Company/About/Core-Technology
- ^ Panagiotis Papadimitriou, Hector Garcia-Molina (enero de 2011), "Detección de fugas de datos", IEEE Transactions on Knowledge and Data Engineering 23 (1): 51-63, Doi:10.1109/TKDE.2010.100
- ^ Costante, E., Vavilis, S., Etalle, S., Petkovic, M. & Zannone, N. Actividades anómala de la base de datos: Detección y cuantificación . DBSec 2014
Enlaces externos
- Comprender la necesidad de Data Loss Prevention
- Costo de una violación de datos
- Cornell arañaSoftware de prevención de pérdidas open Source datos datos en reposo por La Universidad de Cornell
- Diferencias entre IRM vs DLP
|