数据丢失预防 (DLP) 是指网络安全团队用来保护敏感数据免遭偷窃、丢失和滥用的策略、流程和技术。
数据是许多企业的竞争差异化优势,而普通企业网络中蕴藏着商业机密、客户个人数据和其他敏感信息。黑客为了自己的利益而瞄准这些数据,但组织往往难以阻止这些攻击者。每天都有成百上千的授权用户通过云存储和企业本地存储库访问关键数据,要确保这些数据的安全可能非常困难。
DLP 策略和工具通过跟踪整个网络中的数据并执行精准的安全策略,帮助组织防止数据泄漏和丢失。这样,安全团队就能确保只有正确的人才能以正确的理由访问正确的数据。
数据丢失事件通常被描述为数据泄露、数据泄漏或数据渗露。这些术语有时可以互换使用,但它们具有不同的含义。
数据泄露是指发生的特定网络攻击或其他安全事件,在这些安全事件中,未经授权的第三方获得了敏感数据或机密信息,包括个人数据(如社会保障编号、银行账号、医疗保健数据)或企业数据(如客户记录、知识产权、财务数据)。根据 IBM 的 2023 年数据泄露成本报告,平均泄露成本为 445 万美元,在过去三年间增长了 15%。
数据泄漏是指敏感数据或机密信息意外暴露给公众。数据渗漏是指实际发生的数据盗窃,攻击者将他人的数据移动或复制到攻击者控制的设备上。
发生数据丢失的原因有很多,但最常见的原因包括:
- 安全漏洞 - 应用程序、设备、网络或其他 IT 资产的结构、代码或实施中有黑客可以利用的弱点或缺陷。其中包括编码错误、配置错误和零日漏洞(未知或尚未修补的弱点)。
弱凭据或凭证失窃 - 黑客可以轻松猜到的密码,或者黑客或网络罪犯窃取的密码或其他凭证(例如身份证)。
内部威胁 - 因粗心大意或出于恶意意图将数据置于风险之中的授权用户。恶意内部人员的动机往往是出于个人利益或对公司不满。
恶意软件 - 专门用来危害计算机系统或其用户的软件。最著名的数据威胁恶意软件是勒索软件,它对数据进行加密,使其无法被访问,并要求为解密密钥支付赎金(有时还要求支付第二笔赎金,以防止数据被外泄或与其他网络罪犯共享)。
社会工程 - 使用策略操控他人共享他们不该共享的数据。这可以是巧妙的网络钓鱼攻击,诱使员工通过电子邮件发送员工的机密数据,也可以是毫无技巧地将被恶意软件感染的 U 盘放在有人会发现的地方。
物理设备失窃 - 笔记本电脑、智能手机或其他设备失窃,使窃贼获得访问网络和访问数据的权限。
组织制定正式的 DLP 策略来防止所有类型的数据丢失。DLP 策略的核心是一组 DLP 原则,用于定义用户应如何处理企业数据。DLP 策略涵盖关键数据安全实践,例如数据存储位置、谁可以访问数据、如何使用数据以及如何对其进行安全性控制。
信息安全团队通常不会为所有数据制定单一的策略,而是为其网络中不同类型的数据创建不同的策略。这是因为不同类型的数据往往需要不同的处理方式。
例如,信用卡卡号和家庭住址等个人可标识信息 (PII) 通常受到数据安全法规的约束,这些法规规定了公司可以使用这些信息做什么。另一方面,公司可以自由处置其知识产权 (IP)。此外,需要访问 PII 的人可能与需要访问公司 IP 的人不同。两种数据都需要保护,但保护方式不同。
安全团队可创建多个精准的 DLP 策略,这样他们就能对每类数据应用适当的安全标准,而不会干扰经授权的最终用户已获得批准的行为。组织会定期修订这些策略,以跟上相关法规、企业网络和业务运营的变化。
手动执行 DLP 策略可能具有挑战性,甚至不可能。不仅不同的数据集受到不同规则的约束,而且组织还必须监控整个网络中的每一条数据,包括:
使用中的数据 - 正在访问或处理的数据,例如,用于分析或计算的数据,或最终用户正在编辑的文本文档。
动态数据 - 通过网络移动的数据,例如由事件流服务器或消息传递应用程序传输的数据。
静态数据 - 存储中的数据,例如云驱动器中的数据
由于 DLP 策略实施需要整个组织的持续数据可见性,因此信息安全团队通常依赖专门的 DLP 软件工具来确保用户遵循数据安全策略。这些 DLP 工具可以自动执行关键功能,例如识别敏感数据、跟踪其使用情况以及阻止非法访问。
DLP 解决方案通常与其他安全性控制措施协同工作以保护数据。例如,防火墙可以帮助阻止恶意流量进出网络。安全信息和事件管理 (SIEM) 系统可以帮助检测可能导致数据泄露的异常行为。扩展检测和响应 (XDR) 解决方案使组织能够对数据泄露启动强大的自动响应。
DLP 解决方案主要分为三种类型:网络 DLP、端点 DLP 和云 DLP。组织可以根据自己的需求以及数据的存储方式选择使用一种解决方案或多种解决方案的组合。
端点 DLP 工具监控笔记本电脑、服务器、移动设备以及访问网络的其他设备上的活动。这些解决方案直接安装在其监控的设备上,可以阻止用户在这些设备上执行违禁操作。一些端点 DLP 工具还可以阻止设备之间未经批准的数据传输。
云 DLP 解决方案专注于云服务中存储和访问的数据。它们可以扫描、分类、监控和加密云存储库中的数据。对于个人最终用户以及任何可能访问公司数据的云服务,这些工具还可以帮助执行访问控制策略。
安全团队遵循四步流程将 DLP 策略付诸实践,DLP 工具在每个步骤中都发挥着重要作用。
首先,组织对其所有结构化和非结构化数据进行编目。结构化数据是具有标准化形式的数据。它通常有明确的标签并存储在数据库中。信用卡号是结构化数据的一个示例:它们的长度始终为 16 位。非结构化数据是自由形式的信息,如文本文档或图像。
安全团队通常使用 DLP 工具来完成此步骤。这些工具通常可以扫描整个网络,以查找存储在云中、物理端点、员工个人设备上以及其他地方的数据。
接下来,组织会对这些数据进行分类,根据敏感程度和共同特征将其分门别类。对数据进行分类使组织能够将正确的 DLP 策略应用于正确类型的数据。例如,一些组织可能会根据类型对数据进行分组:财务数据、营销数据、知识产权等。其他组织可能会根据相关法规对数据进行分组,例如通用数据保护条例 (GDPR)、健康保险可移植性和责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 等。
许多 DLP 解决方案可以自动进行数据分类。这些工具可以使用人工智能、机器学习和模式匹配来分析结构化和非结构化数据,以确定数据类型、是否敏感以及应该应用哪些 DLP 策略。
对数据进行分类后,安全团队将监控数据的处理方式。DLP 工具可以使用多种技术来识别和跟踪正在使用的敏感数据。这些技术包括:
数据匹配,例如将文件内容与已知敏感数据进行比较。
模式匹配,例如查找遵循某种格式的数据,例如,格式为 XXX-XX-XXXX 的九位数字可能是社会保障编号。
内容分析,例如使用人工智能和机器学习来解析电子邮件以获取机密信息。
检测明确标识文件为敏感文件的标签、标记和其他元数据。
当 DLP 工具发现正在处理的敏感数据时,它会查找策略违规、异常行为、系统漏洞以及其他潜在数据丢失的迹象,包括:
数据泄露,例如用户尝试与组织外部的人员共享机密文件。
未经授权的用户试图访问关键数据或执行未经批准的操作,如编辑、删除或复制敏感文件。
恶意软件签名、来自未知设备的流量或其他恶意活动指标。
当 DLP 解决方案检测到策略违规行为时,它们可以通过实时补救措施进行响应。例如:
在数据通过网络传输时对其进行加密
终止未经授权的数据传输并阻止恶意流量
警告违反策略的用户
标记可疑行为以供安全团队审查
在用户与关键数据交互之前,发起额外的身份验证,要求用户进行安全验证
一些 DLP 工具还有助于数据恢复,自动备份信息,以便在丢失后恢复。
组织还可以采取更积极的措施来执行 DLP 策略。有效的身份和访问管理 (IAM),包括基于角色的访问控制策略,可以限制仅正确的人员才能访问数据。对员工进行数据安全要求和最佳实践培训有助于防止更多意外数据丢失和泄露。
DLP 工具通常具有仪表板和报告功能,安全团队可以使用它们来监控整个网络中的敏感数据。这种文档使安全团队能够随着时间的推移跟踪 DLP 项目的绩效,以便根据需要调整政策和策略。
DLP 工具还可以通过保存数据安全工作的记录来帮助组织遵守相关法规。如果发生网络攻击或需要接受审计时,组织可以使用这些记录来证明自己遵循了适当的数据处理程序。
DLP 策略通常与合规工作紧密结合。许多组织专门制定 DLP 策略,以遵守《通用数据保护条例》(GDPR)、《健康保险可移植性和责任法案》(HIPAA) 和《支付卡行业数据安全标准》(PCI-DSS) 等规则。
不同的法规对不同类型的数据施加不同的标准。例如,HIPAA 规定了个人健康信息的规则,而 PCI-DSS 规定了组织如何处理支付卡数据。收集这两种数据的公司可能需要为每种类型的数据制定单独的 DLP 策略,以满足合规性要求。
许多 DLP 解决方案包括预先编写的 DLP 策略,这些策略符合公司可能需要满足的各种数据安全标准。
利用互联的现代化安全套件战胜攻击。QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享洞察分析和互联工作流程。
保护本地和云中的敏感数据。IBM Security Guardium 是一项数据安全解决方案,能根据威胁环境的变化进行灵活调整,在整个数据安全生命周期中提供全面的能见度、合规性和保护。
IBM 数据安全解决方案在本地或混合云中实施,可帮助您获得更大的可见性和洞察力,以调查并修复网络威胁、执行实时控制和管理法规遵从性。