• Электронная почта: отправка конфиденциальной информации из учетных записей компании (при условии, что доступ к личной электронной почте заблокирован на устройствах компании) на внешние почтовые ящики.

• Загрузка в Интернет: передача данных на внешние веб-сайты, в облачные службы хранения данных, веб-почту и другие веб-страницы или SaaS-решения посредством загрузки через браузер.

Инженеры и администраторы успешно выполняют свою работу, имея те же технические ограничения, что и бизнес-пользователи. Как правило, у них есть один или несколько из следующих вариантов извлечения файлов из следующих источников:

Снижение рисков эксфильтрации без использования инструментов DLP

DLP-решения — это последнее средство для предотвращения уже начавшейся попытки кражи данных. Вместо того, чтобы полагаться только на DLP-решение для предотвращения всех подобных попыток, организациям следует также сократить объём данных, передаваемых по их сетям и средам. Для этого особенно важны три концепции:

Хотя все эти меры значительно снижают риски утечки данных, они не блокируют и не должны блокировать все соединения. Большинству организаций приходится разрешать сетевой трафик, который одновременно служит критически важным бизнес-целям, но также может быть использован для незаконной утечки данных. Именно в этом неоднозначном трафике DLP-решения проявляют себя наилучшим образом: они отслеживают и анализируют трафик, блокируя попытки ненадлежащего изъятия данных.

DLP-каналы

DLP-решения способны отслеживать и перехватывать исходящие потоки данных только при условии их эффективной интеграции в ИТ-ландшафт организации. За прошедшие годы сформировались три основные точки интеграции и перехвата, что отражено в названиях этих возможностей: Email DLP, Endpoint DLP и Network DLP.

Email DLP — это «стартовый комплект», поскольку он снижает риск, связанный со всеми сотрудниками, не имеет строгих ограничений по времени для проверки и обеспечивает легкую интеграцию: просто соедините решение DP и инфраструктуру электронной почты организации.

Endpoint DLP работает через агентов, установленных на пользовательских устройствах (в основном на ноутбуках и виртуальных машинах). В основном он отслеживает и блокирует трафик браузера , то есть загрузку файлов через веб-браузеры или вставку в веб-страницы и формы. Его главное преимущество заключается в том, что он работает не только с ноутбуками в корпоративной сети. Он также отслеживает исходящий трафик при работе с корпоративным ноутбуком из дома или отеля, даже при прямом подключении к Интернету без VPN. Однако у endpoint DLP есть и ограничения. Во-первых, он ориентирован на браузер и, как правило, не охватывает действия командной строки, что в основном является проблемой для администраторов и инженеров с повышенными правами на своих ноутбуках. Во-вторых, он не может охватить трафик, исходящий от PaaS-сервисов, поскольку установка на них агентов endpoint DLP невозможна.

Если корпоративные пользователи работают только с программным обеспечением, проверенным службой безопасности на предмет риска утечки данных (например, без клиентов Dropbox и WhatsApp), сочетание DLP для конечных точек и электронной почты обеспечивает высокую степень защиты от утечки данных. Важно помнить: DLP-решение зависит от политик поиска. Если оно должно предотвращать отправку патентных заявок, политика поиска DLP должна идентифицировать их и отличать от общедоступной патентной информации.

Третий типичный вариант DLP — это сетевой DLP , который работает на периметре сети, анализируя исходящий трафик. Обычно он работает следующим образом:

Сетевой DLP проверяет трафик с ноутбуков и серверов, независимо от того, исходит ли он из браузеров, инструментов и приложений, или из командной строки. Он также отслеживает сервисы PaaS. Однако весь трафик должен проходить через сетевой компонент, который DLP может перехватить, обычно через прокси-сервер. Это ограничение применимо, если удалённые сотрудники не используют корпоративный прокси-сервер, но оно работает для ноутбуков в корпоративной сети и передачи данных, исходящих из (облачных) виртуальных машин и сервисов PaaS. Таким образом, после рассмотрения всех функций, вариантов и возможностей DLP, посыл относительно «облачного DLP» очевиден.

Если существует деловая или нормативная необходимость в мониторинге и предотвращении потенциальной утечки данных из виртуальных машин и сервисов PaaS, осуществляемой администраторами и инженерами намеренно или по ошибке, единственным решением является сетевая DLP — в дополнение к тому, что уже реализовано в рабочей зоне со всеми ноутбуками.

Внедрение эффективной стратегии облачной DLP

Эффективное внедрение облачной DLP-системы требует индивидуального подхода, учитывающего специфику рисков и технический ландшафт вашей организации. Определив, какие группы пользователей и каналы связи представляют наибольший риск утечки данных, организации могут развернуть оптимальное сочетание DLP-решений для электронной почты, конечных точек и сети.

Помните, что инструменты DLP должны дополнять, а не заменять фундаментальные методы обеспечения безопасности, такие как продуманная разработка приложений, строгие политики межсетевого экрана и безопасные среды разработки. Наиболее успешные облачные стратегии DLP сочетают технические средства контроля с бизнес-потребностями, обеспечивая защиту конфиденциальных данных без ущерба для законных рабочих процессов.