Quali opzioni sono disponibili per implementare la DLP all'interno di un'organizzazione e quali sono i pro e i contro di ciascuna?
Un approccio consiste nel bloccare gli endpoint su bloccare i punti di uscita , che includono:
Lo vedo in molti ambienti, ma mai in modo completo. Ma anche se questo potrebbe essere implementato perfettamente, c'è un grosso problema: è troppo restrittivo. Abbiamo disabilitato USB perché vogliamo impedire a Joe di copiare il database top secret su una chiavetta USB. Ora, Joe potrebbe voler - piuttosto legittimamente - mettere del materiale di marketing non confidenziale su una chiavetta USB da usare in una conferenza. Il blocco impedisce questo: non ha alcun concetto di classificazione, quindi non può distinguere tra una presentazione pubblica e un memo top secret. La maggior parte delle aziende ha un processo per richiedere la riattivazione dell'USB, con una giustificazione aziendale, ma a quel punto Joe può rubare il database top secret.
Per migliorare questo aspetto, vari fornitori hanno creato strumenti Prevenzione perdita di dati (DLP). Alcuni di questi sono chiamati Data Loss Mitigation (DLM); è la stessa tecnologia. Questi funzionano in vari modi, ma la maggior parte ha un agente sull'endpoint e un sistema di gestione centrale. Quando il sistema è installato, vari documenti chiave saranno contrassegnati come confidenziali, e alcuni modelli possono essere utilizzati (uno popolare è di 16 cifre, che indica un numero di carta di credito). Ora, quando Joe prova a scrivere un file sulla sua chiavetta USB, l'agente controlla se il file è confidenziale e quindi consente (o non consente) di scrivere il file.
I sistemi DLP commerciali sono ormai maturi e cercano di affrontare tutti i punti di ritrovo dei media e della rete locali. È importante rendersi conto che sono intesi solo per fermare il personale interno. In genere non fermeranno gli hacker (nonostante le affermazioni di alcuni produttori). Tuttavia, sono una buona tecnologia da avere, e anche se non sono così ampiamente utilizzati, penso che la maggior parte delle organizzazioni attente alla sicurezza dovrebbero averla. Penso che il rapporto costi / benefici sia migliore di quello che ottieni da IDS.
Come hanno detto le persone, un punto di uscita che nulla può proteggere sono le persone. È possibile impedire a qualcuno di copiare un database da 10 GB su un'unità USB. Ma se i dati top secret sono una frase ("è stato xxxx che ha sparato a JFK"), allora qualcuno può ovviamente leggerlo, ricordarlo, quindi farlo fuori dalla tua organizzazione. E per impedire a qualcuno di fotografare il proprio schermo occorrono controlli di sicurezza fisici, come la confisca dei dispositivi elettronici personali.
Non puoi impedire a qualcuno di leggere le informazioni, ricordarle e scriverle al di fuori del tuo controllo.
Senza un'estrema sicurezza fisica non puoi impedire a qualcuno di intrufolarsi in una telecamera sul posto e scattare foto dello schermo.
Se autorizzi la stampa, possono riempire le stampe con i pantaloni.
Se consenti carta e penne, possono consegnare le informazioni di copia dallo schermo.
Senza modifiche hardware e blocco non è possibile impedire a qualcuno di copiare documenti su una penna USB. (ad esempio, riavviare su sistemi operativi diversi per evitare restrizioni software).
Leggi altre domande sui tag data-leakage documents