Quali opzioni sono disponibili per l'implementazione di DLP? [chiuso]

Un approccio consiste nel bloccare gli endpoint su bloccare i punti di uscita , che includono:

• Disabilitare i media locali: USB, schede SD, masterizzatori di CD, firewire, ecc. Molte aziende tentano di farlo - disabilitare USB è considerato una linea di base standard - ma raramente sono tutti bloccati. I thin client possono farlo in modo più efficace di un normale computer.
• Blocco dell'uscita di rete: questo è più difficile; alcune aziende utilizzano un proxy di filtro dei contenuti per bloccare i siti di condivisione di file e la webmail, ma non le bloccano mai tutte, e in particolare è necessario consentire l'e-mail aziendale.
• È necessario impedire la connessione di dispositivi non autorizzati alla rete, poiché questi non avranno i supporti locali disabilitati, quindi possono essere utilizzati per l'uscita. Alcune aziende lo tentano con il controllo dell'accesso alla rete (NAC).

Lo vedo in molti ambienti, ma mai in modo completo. Ma anche se questo potrebbe essere implementato perfettamente, c'è un grosso problema: è troppo restrittivo. Abbiamo disabilitato USB perché vogliamo impedire a Joe di copiare il database top secret su una chiavetta USB. Ora, Joe potrebbe voler - piuttosto legittimamente - mettere del materiale di marketing non confidenziale su una chiavetta USB da usare in una conferenza. Il blocco impedisce questo: non ha alcun concetto di classificazione, quindi non può distinguere tra una presentazione pubblica e un memo top secret. La maggior parte delle aziende ha un processo per richiedere la riattivazione dell'USB, con una giustificazione aziendale, ma a quel punto Joe può rubare il database top secret.

Per migliorare questo aspetto, vari fornitori hanno creato strumenti Prevenzione perdita di dati (DLP). Alcuni di questi sono chiamati Data Loss Mitigation (DLM); è la stessa tecnologia. Questi funzionano in vari modi, ma la maggior parte ha un agente sull'endpoint e un sistema di gestione centrale. Quando il sistema è installato, vari documenti chiave saranno contrassegnati come confidenziali, e alcuni modelli possono essere utilizzati (uno popolare è di 16 cifre, che indica un numero di carta di credito). Ora, quando Joe prova a scrivere un file sulla sua chiavetta USB, l'agente controlla se il file è confidenziale e quindi consente (o non consente) di scrivere il file.

I sistemi DLP commerciali sono ormai maturi e cercano di affrontare tutti i punti di ritrovo dei media e della rete locali. È importante rendersi conto che sono intesi solo per fermare il personale interno. In genere non fermeranno gli hacker (nonostante le affermazioni di alcuni produttori). Tuttavia, sono una buona tecnologia da avere, e anche se non sono così ampiamente utilizzati, penso che la maggior parte delle organizzazioni attente alla sicurezza dovrebbero averla. Penso che il rapporto costi / benefici sia migliore di quello che ottieni da IDS.

Come hanno detto le persone, un punto di uscita che nulla può proteggere sono le persone. È possibile impedire a qualcuno di copiare un database da 10 GB su un'unità USB. Ma se i dati top secret sono una frase ("è stato xxxx che ha sparato a JFK"), allora qualcuno può ovviamente leggerlo, ricordarlo, quindi farlo fuori dalla tua organizzazione. E per impedire a qualcuno di fotografare il proprio schermo occorrono controlli di sicurezza fisici, come la confisca dei dispositivi elettronici personali.