По мере ускорения внедрения облачных технологий организациям необходимы стратегические подходы к облачной DLP, учитывающие конкретные группы пользователей и каналы связи.
Перенося рабочие нагрузки в облако для повышения гибкости и экономии средств, организации часто упускают из виду непреднамеренные последствия расширения поверхностей атак, что повышает риск утечки данных. Хотя такие облачные функции, как совместная работа и доступность, могут стимулировать инновации, они также создают пути для незаметного выхода конфиденциальных данных за пределы организации. Для устранения этих рисков организациям необходимо разрабатывать стратегии предотвращения потерь данных в облаке, адаптированные к их уникальным группам пользователей и каналам связи.
Предотвращение утечек данных (DLP) представляет собой комплекс стратегических и оперативных мер по предотвращению несанкционированной утечки данных, подкреплённый программными инструментами, которые обнаруживают и блокируют такие попытки. В связи со значительным объёмом рабочих нагрузок, размещаемых в облаке, растёт спрос на облачные DLP-системы. Однако определение точных требований к DLP-системам может быть затруднено, поскольку обсуждения зачастую не отличаются ясностью.
Эффективность DLP-систем зависит от их адаптации к конкретным потребностям организации, включая создание чётко определённых правил обнаружения и чёткое определение области контролируемого трафика. Эти факторы определяют, способна ли система надёжно блокировать попытки кражи конфиденциальных данных или просто отслеживать нерелевантные передачи данных.
Чтобы приступить к реализации облачной стратегии DLP, организациям необходимо ответить на два ключевых вопроса:
-
Каких пользователей следует включить в область действия?
-
Какие каналы связи должна охватывать DLP-система?
Ответы на эти вопросы могут помочь организациям создать четко определенную и действенную стратегию облачной DLP, которая будет соответствовать их более широким целям в области безопасности и соответствия требованиям .
Группы пользователей, риски утечки и каналы
Различные группы пользователей внутри организации обладают различными техническими инструментами и возможностями для передачи данных извне. В крупных организациях обычно выделяют две основные группы пользователей: бизнес-пользователи и инженеры/администраторы.
Бизнес-пользователи
Корпоративные пользователи работают в условиях строгих ограничений, установленных ИТ-отделом их организации. Они работают исключительно с предварительно одобренными приложениями и не могут устанавливать несанкционированное программное обеспечение на свои компьютеры или получать доступ к базам данных и серверам, например, на уровне операционной системы. Следовательно, их возможности по извлечению данных ограничены только двумя каналами:
-
Электронная почта: отправка конфиденциальной информации со своих корпоративных аккаунтов электронной почты на внешние почтовые ящики, предполагая, что доступ к личным электронным письмам заблокирован на корпоративных устройствах.
-
Загрузка в Интернет: передача данных на внешние веб-сайты, в облачные службы хранения данных, на платформы веб-почты или в SaaS-приложения посредством загрузки через браузер.
Инженеры и администраторы
В отличие от бизнес-пользователей, инженерам и администраторам требуются расширенные права доступа и разрешения для эффективного выполнения своей работы. Хотя они могут работать в условиях тех же технических ограничений, у них часто есть дополнительные возможности для кражи файлов. К ним относятся:
-
Ноутбуки: FTP или самостоятельно установленные инструменты и приложения для передачи файлов во внешние устройства.
-
Виртуальные машины : интерфейсы командной строки (например, командная оболочка) или браузеры для отправки данных на внешние серверы или веб-сайты.
-
Компоненты платформы как услуги (PaaS) : облачные ресурсы для передачи файлов за пределы организации.
Снижение рисков эксфильтрации без использования инструментов DLP
Хотя инструменты DLP служат критически важной последней линией обороны от попыток активного изъятия данных, организациям не следует полагаться исключительно на эти инструменты для предотвращения утечек данных . Сокращение объёма конфиденциальных данных, циркулирующих в сети, может значительно снизить риски. Особенно ценны три стратегии:
1. Продуманный дизайн бизнес-приложений
Реализуйте приложения, запрещающие массовую загрузку конфиденциальных данных, таких как полные списки клиентов. Риск утечки данных минимизируется благодаря тому, что бизнес-пользователи не могут получать доступ к большим наборам данных или хранить их на своих ноутбуках.
2. Строгие правила брандмауэров и прокси-серверов
Настройте правила брандмауэра и прокси-сервера, чтобы разрешить только необходимые порты и URL-адреса для ноутбуков, серверов и облачных сервисов.
3. Безопасные среды разработки
Создайте изолированные среды (без доступа в Интернет), которые позволят инженерам работать с конфиденциальными данными, не загружая их на свои ноутбуки. Этот подход требует больших затрат, но может быть необходим для отраслей с высоким уровнем риска, таких как финансы или здравоохранение .
Хотя эти меры снижают риски, организациям по-прежнему необходимо разрешать доступ к важному для бизнес-операций сетевому трафику, который может быть использован во вредоносных целях. Именно в этом и заключаются преимущества инструментов DLP: они отслеживают и проверяют неоднозначный трафик, блокируя попытки несанкционированного изъятия данных, при этом позволяя законным рабочим процессам продолжаться.
Для реализации этих проактивных мер организациям необходимо интегрировать инструменты DLP в свою ИТ-инфраструктуру для эффективного мониторинга и перехвата исходящих потоков данных. Это подводит нас к следующему важному вопросу: определению основных каналов DLP и их роли в снижении рисков.
DLP-каналы
DLP-системы должны быть интегрированы в ИТ-инфраструктуру организации, прежде чем смогут отслеживать и перехватывать исходящие потоки данных. За прошедшие годы сформировались три основные точки интеграции и перехвата: DLP для электронной почты, DLP для конечных точек и DLP для сети.
1. Электронная почта DLP
Электронная почта — это «стартовый набор» для организаций, предлагающий простой способ снизить риски утечки данных среди всех сотрудников. Она легко интегрируется в инфраструктуру электронной почты организации и не сталкивается со строгими ограничениями по времени проверки. Объединяя DLP-систему с электронной почтой, организации могут отслеживать и блокировать конфиденциальную информацию, отправляемую на внешние почтовые ящики, что делает её критически важным первым шагом на пути к внедрению DLP.
2. Конечная точка DLP
Endpoint DLP работает через агентов, установленных на пользовательских устройствах, таких как ноутбуки и виртуальные машины, и в основном отслеживает и блокирует трафик через браузер, включая загрузку файлов через веб-браузеры или данные, вставленные в веб-страницы и формы.
Главное преимущество Endpoint DLP заключается в том, что он работает как с устройствами, подключенными к корпоративной сети, так и с ноутбуками, используемыми удалённо, например, дома или в поездках. Кроме того, он отслеживает исходящий трафик, даже если устройства подключены к интернету напрямую, без VPN.
Однако у Endpoint DLP есть ограничения. Он отслеживает активность браузера и не охватывает операции командной строки, что особенно актуально для администраторов и инженеров с повышенными правами. Кроме того, Endpoint DLP не может отслеживать трафик, исходящий от компонентов PaaS, поскольку установка агентов Endpoint DLP на эти сервисы невозможна.
Когда корпоративным пользователям разрешено использовать только программное обеспечение, проверенное службой безопасности на предмет риска утечки данных (например, запрещающее использование таких приложений, как Dropbox и WhatsApp), сочетание DLP для конечных точек и DLP для электронной почты может обеспечить надежную защиту. Эффективность инструмента DLP зависит от четко определенных политик поиска. Например, если цель состоит в предотвращении утечки патентных заявок, политика поиска DLP должна точно идентифицировать такие документы, отличая их от общедоступной патентной информации.
3. Сетевой DLP
Третий распространённый вариант DLP — сетевой DLP, работающий на периметре сети для анализа исходящего трафика. Его типичный рабочий процесс включает:
-
Расшифровка исходящего трафика: на прокси-сервере сетевой DLP расшифровывает трафик, например HTTPS-трафик, для обеспечения возможности его проверки.
-
Анализ данных: проверяет HTTP-данные и расшифрованные HTTPS-данные на наличие конфиденциального контента, выявляя потенциальные риски утечки данных.
-
Повторное шифрование трафика: после проверки трафик повторно шифруется перед отправкой по назначению.
Network DLP проверяет трафик, исходящий с ноутбуков и серверов, независимо от того, исходит ли он из браузеров, инструментов, приложений или команд командной строки. Система также отслеживает трафик компонентов PaaS и виртуальных машин, что делает её универсальной системой для облачных сред.
Хотя сетевая DLP требует, чтобы весь трафик проходил через сетевой компонент, например, прокси-сервер, она незаменима для мониторинга передачи данных, исходящих от виртуальных машин и PaaS-сервисов. Она также дополняет другие DLP-инструменты, такие как DLP для конечных точек и электронной почты, обеспечивая комплексный охват всех рабочих зон.
Внедрение эффективной стратегии облачной DLP
Эффективное внедрение облачной DLP-системы требует индивидуального подхода, учитывающего уникальный профиль рисков и технический ландшафт вашей организации. Для этого организациям следует сосредоточиться на трёх ключевых областях:
-
Определите группы пользователей и каналы связи с высоким уровнем риска: определите группы пользователей и каналы связи, представляющие наибольший риск утечки данных. Это позволит организациям развернуть оптимальное сочетание инструментов DLP для электронной почты, конечных точек и сети.
-
Дополняйте инструменты DLP фундаментальными методами обеспечения безопасности: инструменты DLP должны усиливать, а не заменять основные меры безопасности, такие как продуманная разработка приложений, ограничивающая доступ к конфиденциальным данным, строгие политики брандмауэра, ограничивающие ненужный сетевой трафик, и безопасные среды разработки, предотвращающие загрузку конфиденциальных данных на пользовательские устройства.
-
Баланс технического контроля с потребностями бизнеса: наиболее успешные стратегии облачной DLP обеспечивают баланс между защитой конфиденциальных данных и обеспечением законных рабочих процессов.
