Войти
Программное обеспечение для предотвращения потери данных обнаруживает потенциальные утечки данных / передачу данных без фильтрации и предотвращает их путем мониторинга, обнаружения и блокирование конфиденциальных данных во время использования (действия конечных точек), в движении (сетевой трафик) и в состоянии покоя (хранение данных).
Термины «потеря данных » и «утечка данных » связаны между собой и часто используются как взаимозаменяемые. Инциденты потери данных превращаются в инциденты утечки данных в случаях, когда носители, содержащие конфиденциальную информацию, теряются и впоследствии приобретаются неавторизованной стороной. Однако утечка данных возможна без потери данных на исходной стороне. Другими терминами, связанными с предотвращением утечки данных, являются обнаружение и предотвращение утечки информации (ILDP), предотвращение утечки информации (ILP), мониторинг и фильтрация контента (CMF), защита и контроль информации (IPC) и система предотвращения выдавливания (EPS), в отличие от система предотвращения вторжений.
Технологические средства , используемые для борьбы с инцидентами утечки данных, можно разделить на категории: стандартные меры безопасности, расширенные / интеллектуальные меры безопасности, контроль доступа и шифрование, а также специальные системы DLP, хотя в настоящее время только последняя категория считается DLP.
Стандартные меры безопасности е, такие как межсетевые экраны, системы обнаружения вторжений (IDS) и антивирусное программное обеспечение, являются общедоступными продуктами, которые защищают компьютеры от внешних и внутренних атак. Например, использование брандмауэра предотвращает доступ посторонних к внутренней сети, а система обнаружения вторжений обнаруживает попытки вторжений со стороны. Внутренние атаки можно предотвратить с помощью антивирусного сканирования, которое обнаруживает троянских коней, отправляющих конфиденциальную информацию, и с помощью тонких клиентов, работающих в архитектуре клиент-сервер без личных или конфиденциальных данных. хранится на клиентском устройстве.
В дополнительных мерах безопасности используются алгоритмы машинного обучения и временного анализа для обнаружения аномального доступа к данным (например, к базам данных или системам поиска информации.) или ненормальный обмен электронной почтой, приманки для обнаружения уполномоченного персонала со злонамеренными намерениями и проверки на основе действий (например, распознавание динамики нажатия клавиш) и мониторинг активности пользователей для обнаружения аномального доступа к данным.
Выделенные системы обнаруживают и предотвращают несанкционированные попытки скопировать или отправить конфиденциальные данные, намеренно или непреднамеренно, в основном со стороны персонала, имеющего право доступа к конфиденциальной информации. Чтобы классифицировать определенную информацию как конфиденциальную, они используют такие механизмы, как точное сопоставление данных, идентификация структурированных данных, статистические методы, правила и сопоставление регулярных выражений,, опубликованные словари, концептуальные определения, ключевые слова и контекстная информация, такая как источник данных.
Технология сети (данные в движении) обычно устанавливается в точках выхода сети вблизи периметра. Он анализирует сетевой трафик, чтобы обнаружить конфиденциальные данные, которые отправляются с нарушением политики информационной безопасности. Несколько точек управления безопасностью могут сообщать об активности, которая должна быть проанализирована центральным сервером управления.
Конечные точки (используемые данные) системы работают на внутренних рабочих станциях или серверах конечных пользователей. Подобно сетевым системам, технология на основе конечных точек может адресовать как внутренние, так и внешние коммуникации. поэтому его можно использовать для управления потоком информации между группами или типами пользователей (например, «Китайские стены »). Они также могут контролировать электронную почту и обмен мгновенными сообщениями до того, как они попадут в корпоративный архив, так что заблокированное сообщение (т. Е. Сообщение, которое никогда не было отправлено и, следовательно, не подлежит правилам хранения) не будет идентифицировано последующее юридическое открытие ситуации. Конечные системы имеют то преимущество, что они могут отслеживать и контролировать доступ к физическим устройствам (например, мобильным устройствам с возможностью хранения данных), а в некоторых случаях могут получать доступ к информации до того, как она будет зашифрована. Системы конечных точек также имеют доступ к информации, необходимой для контекстной классификации; например, источник или автор, создающий контент. Некоторые системы на основе оконечных устройств предоставляют средства управления приложениями, чтобы блокировать попытки передачи конфиденциальной информации и обеспечивать немедленную обратную связь с пользователем. Они должны быть установлены на каждой рабочей станции в сети, не могут использоваться на мобильных устройствах (например, сотовых телефонах и КПК) или там, где они не могут быть практически установлены (например, на рабочей станции в Интернет-кафе ).
DLP включает в себя методы идентификации конфиденциальной или конфиденциальной информации. Идентификация данных, которую иногда путают с обнаружением, представляет собой процесс, при котором организации используют технологию DLP, чтобы определить, что искать.
Данные классифицируются как структурированные и неструктурированные. Структурированные данные находятся в фиксированных полях в файле, таком как электронная таблица, в то время как неструктурированные данные относятся к тексту или мультимедиа произвольной формы в текстовых документах, файлах PDF и видео. Примерно 80% всех данных неструктурированы, а 20% - структурированы.
Иногда распространитель данных передает конфиденциальные данные одной или нескольким третьим сторонам. Некоторое время спустя некоторые данные обнаруживаются в неавторизованном месте (например, в Интернете или на портативном компьютере пользователя). Затем дистрибьютор должен исследовать источник утечки.
«Данные в состоянии покоя», в частности, относятся к информации, которая не перемещается, т.е. которая существует в базе данных или в общей папке. Эта информация вызывает серьезное беспокойство у предприятий и государственных учреждений просто потому, что чем дольше данные остаются неиспользованными в хранилище, тем выше вероятность их получения посторонними лицами. Защита таких данных включает такие методы, как контроль доступа, шифрование данных и политики хранения данных.
«Используемые данные» относятся к данным, которые использует пользователь. в настоящее время взаимодействует с. Системы DLP, которые защищают используемые данные, могут отслеживать и отмечать несанкционированные действия. Эти действия включают в себя операции захвата экрана, копирования / вставки, печати и отправки факсов с конфиденциальными данными. Это могут быть умышленные или непреднамеренные попытки передать конфиденциальные данные по каналам связи.
«Данные в движении» - это данные, которые проходят через сеть к конечной точке. Сети могут быть внутренними или внешними. Системы DLP, которые защищают данные в движении, контролируют конфиденциальные данные, передаваемые по сети через различные каналы связи.
