La prevenzione della perdita di dati (DLP) si riferisce alle strategie, ai processi e alle tecnologie utilizzate dai team di sicurezza informatica per proteggere i dati riservati da furto, perdita e uso improprio.
I dati sono un fattore di differenziazione competitiva per molti business e la rete aziendale media ospita una miniera di segreti commerciali, dati personali dei clienti e altre informazioni riservate. Gli hacker prendono di mira questi dati a proprio vantaggio, ma le organizzazioni spesso faticano a contrastare questi aggressori. Può essere difficile mantenere i dati critici protetti, mentre centinaia, se non migliaia, di utenti autorizzati vi accedono ogni giorno tramite lo storage cloud e i repository on-premises.
Le strategie e gli strumenti DLP aiutano le organizzazioni a prevenire fughe e perdite di dati tracciando i dati in tutta la rete e applicando politiche di sicurezza granulari. In questo modo, i team di sicurezza possono garantire che solo le persone giuste possano accedere ai dati giusti per i giusti motivi.
Gli eventi di perdita di dati sono spesso descritti come violazioni di dati, perdite di dati o esfiltrazione di dati. I termini sono talvolta usati in modo intercambiabile, ma hanno significati distinti.
Una violazione dei dati è un attacco informatico o altro incidente di sicurezza in cui parti non autorizzate possono accedere a dati o informazioni riservati, inclusi dati personali (ad es. numeri di previdenza sociale, numeri di conto bancario, dati sanitari) o dati aziendali (ad es. record cliente, proprietà intellettuali, dati finanziari). Secondo il report Costo di una violazione dei dati 2023 di IBM, la violazione media costa 4,45 milioni di dollari, un aumento del 15% negli ultimi tre anni.
La perdita di dati è l'esposizione accidentale di dati o informazioni riservati al pubblico. L'esfiltrazione dei dati è un vero e proprio furto di dati, quando l'autore dell'attacco sposta o copia i dati di qualcun altro su un dispositivo sotto il controllo dell'autore dell'attacco stesso.
La perdita di dati si verifica per molte ragioni, ma tra le cause più comuni ricordiamo:
Credenziali deboli o sottratte: password che gli hacker possono facilmente scoprire o password o altre credenziali (ad esempio, carte d'identità) sottratte da hacker o criminali informatici.
Minacce interne: utenti autorizzati che mettono a rischio i dati a causa di negligenza o intenti dannosi. Gli insider malevoli sono spesso motivati da guadagni personali o da un risentimento nei confronti dell'azienda.
Malware: software creato appositamente per danneggiare un sistema di elaborazione o i suoi utenti. La forma più nota di malware che minaccia i dati è il ransomware, che crittografa i dati in modo che non sia possibile accedervi e richiede il pagamento di un riscatto per la chiave di decodifica (e talvolta un secondo pagamento per impedire che i dati vengano esfiltrati o condivisi con altri criminali informatici).
Ingegneria sociale: tattiche che ingannano le persone inducendole a condividere dati che non dovrebbero comunicare. Può avvenire in modo astuto, con un attacco di phishing che convince un dipendente a inviare via e-mail i dati riservati dei dipendenti, oppure essere determinato da un'ingenuità, come lasciare una pen drive infettata da malware dove qualcuno la troverà e la utilizzerà.
Furto di unità fisica: furto di un laptop, smart phone o altro dispositivo che garantisce al ladro l'accesso alla rete e l'autorizzazione ad accedere ai dati.
Le organizzazioni creano strategie DLP formali per proteggersi da tutti i tipi di perdita di dati. Il fulcro di una strategia DLP è un insieme di politiche DLP che definiscono come gli utenti devono gestire i dati enterprise. Le politiche DLP interessano le principali pratiche di sicurezza dei dati, ad esempio dove archiviare i dati, chi può accedervi, come utilizzarli e come inserirvi controlli di sicurezza.
Invece di elaborare un’unica politica per tutti i dati, i team di sicurezza delle informazioni in genere creano politiche diverse per i diversi tipi di dati nelle proprie reti. Questo perché tipi diversi di dati spesso devono essere gestiti in modo diverso.
Ad esempio, le informazioni che permettono l'identificazione personale (PII), come i numeri di carta di credito e gli indirizzi di casa, sono generalmente soggetti a norme sulla sicurezza dei dati che stabiliscono cosa può fare un'azienda con tali dati. D’altro canto, l’azienda ha piena libertà sui propri interventi con le sue proprietà intellettuali (IP). Inoltre, le persone che necessitano di accesso alle PII potrebbero non essere le stesse persone che necessitano di accesso all’IP aziendale. Entrambi i tipi di dati devono essere protetti, ma in modi diversi.
I team addetti alla sicurezza creano più politiche DLP granulari in modo da poter applicare gli standard di sicurezza appropriati a ciascun tipo di dati senza interferire con il comportamento approvato degli utenti finali autorizzati. Le organizzazioni rivedono regolarmente queste politiche per tenere il passo con le modifiche alle normative pertinenti, alla rete enterprise e alle operazioni di business.
L’applicazione manuale delle politica DLP può essere complessa, se non impossibile. Non solo i diversi set di dati sono soggetti a regole diverse, ma le organizzazioni devono anche monitorare ogni singolo dato in tutta la rete, tra cui
Dati in uso: dati a cui si accede o vengono elaborati, ad esempio dati utilizzati per analisi o calcoli o un documento di testo modificato da un utente finale.
Dati dinamici: dati che si spostano in una rete, ad esempio dati trasmessi da un server di event streaming o da un'app di messaggistica.
Dati inattivi: dati in archivio, ad esempio dati che si trovano in un'unità cloud.
Poiché l'applicazione delle politiche DLP richiede una visibilità continua dei dati in tutta l'organizzazione, i team di sicurezza delle informazioni si affidano in genere a strumenti software DLP specializzati per garantire che gli utenti rispettino le politiche di sicurezza dei dati. Questi strumenti DLP possono automatizzare funzioni chiave come l'identificazione di dati riservati, il tracciamento del loro utilizzo e il blocco degli accessi illeciti.
Le soluzioni DLP spesso funzionano in combinazione con altri controlli di sicurezza per proteggere i dati. Ad esempio, i firewall possono aiutare a bloccare il traffico dannoso all'interno e all'esterno delle reti. I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare a rilevare comportamenti anomali che possono indicare perdite di dati. Le soluzioni di rilevamento e risposta estesi (XDR) consentono alle organizzazioni di lanciare risposte automatiche solide alle violazioni dei dati.
Esistono tre tipi principali di soluzioni DLP: DLP di rete, endpoint e cloud. Le organizzazioni possono scegliere di utilizzare un tipo di soluzione o una combinazione di più soluzioni, a seconda delle loro esigenze e della modalità di archiviazione dei dati.
Le soluzioni DLP di rete si concentrano sul modo in cui i dati si muovono attraverso, dentro e fuori una rete. Spesso utilizzano l'intelligenza artificiale (AI) e l'apprendimento automatico per rilevare flussi di traffico anomali che potrebbero segnalare fughe o perdite di dati. Sebbene gli strumenti DLP di rete siano progettati per monitorare i dati in movimento, molti possono anche offrire visibilità di dati in uso e inattivi sulla rete.
Gli strumenti DLP per endpoint monitorano l'attività su laptop, server, dispositivi mobili e altri dispositivi che accedono alla rete. Queste soluzioni vengono installate direttamente sui dispositivi che monitorano e possono impedire agli utenti di eseguire azioni vietate su tali dispositivi. Alcuni strumenti DLP per endpoint possono anche bloccare i trasferimenti di dati non approvati tra dispositivi.
Le soluzioni DLP cloud si concentrano sui dati archiviati e a cui si accede dai servizi cloud. Possono scansionare, classificare, monitorare e crittografare i dati in repository cloud. Questi strumenti possono anche aiutare ad applicare politiche di controllo degli accessi sui singoli utenti finali e su eventuali servizi cloud che potrebbero accedere ai dati aziendali.
I team di sicurezza seguono un processo in quattro fasi per mettere in pratica le politiche DLP e gli strumenti DLP svolgono un ruolo importante in ogni fase.
Innanzitutto, l'organizzazione cataloga tutti i propri dati strutturati e non strutturati. I dati strutturati sono dati con una forma standardizzata. Di solito vengono chiaramente etichettati e archiviati in un database. I numeri di carta di credito sono un esempio di dati strutturati: sono sempre di 16 cifre. I dati non strutturati sono informazioni in forma libera, come documenti di testo o immagini.
I team di sicurezza utilizzano in genere gli strumenti DLP per eseguire questo passaggio. Questi strumenti possono spesso scansionare l'intera rete per trovare i dati ovunque siano archiviati: nel cloud, sugli endpoint fisici, sui dispositivi personali dei dipendenti e altrove.
Successivamente, l'organizzazione classifica questi dati, ordinandoli in gruppi in base al livello di riservatezza e alle caratteristiche condivise. La classificazione dei dati consente all'organizzazione di applicare le politiche DLP giuste ai dati giusti. Ad esempio, alcune organizzazioni possono raggruppare i dati in base al tipo: dati finanziari, dati di marketing, proprietà intellettuali, ecc. Altre organizzazioni possono raggruppare i dati in base alle normative pertinenti, quali il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS), ecc.
Molte soluzioni DLP possono automatizzare la classificazione dei dati. Questi strumenti possono utilizzare l'intelligenza artificiale, l'apprendimento automatico e la corrispondenza modello per analizzare dati strutturati e non strutturati allo scopo di determinare di che tipo di dati si tratta, se sono riservati e le politiche DLP da applicare.
Dopo la classificazione dei dati, il team di sicurezza ne monitora la gestione. Gli strumenti DLP possono utilizzare diverse tecniche per identificare e monitorare i dati riservati in uso. Queste tecniche includono:
Corrispondenza dei dati, ad esempio il confronto del contenuto dei file con dati riservati noti.
La corrispondenza dei modelli, ad esempio la ricerca di dati che seguono un determinato formato, come un numero a nove cifre formattato XXX-XX-XXXX, potrebbe essere un numero di previdenza sociale.
Analisi dei contenuti, come l'utilizzo dell'AI e del machine learning per analizzare un messaggio di posta elettronica alla ricerca di informazioni riservate.
Rilevazione di etichette, tag e altri metadati che identificano esplicitamente un file come riservato.
Quando uno strumento DLP rileva dati riservati gestiti, cerca violazioni delle politica, comportamenti anomali, vulnerabilità del sistema e altri segni di potenziale perdita di dati, tra cui:
Perdite di dati, come un utente che tenta di condividere un file riservato con un individuo esterno all'organizzazione.
Utenti non autorizzati che tentano di accedere ai dati critici o eseguire azioni non approvate, come la modifica, l'eliminazione o la copia di un file con informazioni sensibili.
Firme malware, traffico proveniente da unità sconosciute o altri indicatori di attività maligna.
Quando le soluzioni DLP rilevano violazioni della politica, possono rispondere con interventi di correzione in tempo reale. Ecco alcuni esempi:
Crittografare i dati mentre si spostano nella rete
Porre fine ai trasferimenti dati non autorizzati e bloccare il traffico dannoso
Avvertire gli utenti che stanno violando le politiche
Segnalare comportamenti sospetti affinché il team di sicurezza possa esaminarli
Attivazione di ulteriori richieste di autenticazione prima che gli utenti possano interagire con i dati critici
Alcuni strumenti DLP aiutano anche nel recupero dei dati, eseguendo automaticamente il backup delle informazioni in modo che possano essere ripristinate dopo una perdita.
Anche le organizzazioni possono adottare misure più proattive per applicare le politiche DLP. L'efficace gestione delle identità e degli accessi (IAM), incluse le politiche di controllo dell'accesso basato sui ruoli, può limitare l'accesso ai dati alle persone giuste. La formazione dei dipendenti sui requisiti di sicurezza dei dati e sulle procedure migliori può aiutare a prevenire ulteriori perdite e fughe di dati accidentali prima che si verifichino.
Gli strumenti DLP sono in genere dotati di dashboard e funzioni di reporting che i team di sicurezza possono utilizzare per monitorare i dati riservati in tutta la rete. Questa documentazione consente al team di sicurezza di tenere traccia delle prestazioni del programma DLP nel tempo in modo che le politiche e le strategie possano essere modificate in base alle esigenze.
Gli strumenti DLP possono anche aiutare le organizzazioni a rispettare le normative pertinenti, conservando i registri delle loro attività di sicurezza dei dati. In caso di attacco informatico o verifica, l'organizzazione può utilizzare questi record per dimostrare di aver seguito le procedure appropriate di gestione dati.
Le strategie DLP sono spesso strettamente allineate all'impegno di conformità. Molte organizzazioni elaborano le proprie politiche DLP appositamente per conformarsi a normative come il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA) e il Payment Card Industry Data Security Standard (PCI-DSS).
Normative diverse impongono standard diversi per tipi diversi di dati. Ad esempio, l'HIPAA stabilisce le regole per le informazioni sanitarie personali, mentre il PCI-DSS stabilisce come le organizzazioni gestiscono i dati delle carte di pagamento. Un'azienda che raccoglie entrambi i tipi di dati necessiterebbe probabilmente di una politica DLP distinta per ciascun tipo per soddisfare i requisiti di conformità.
Molte soluzioni DLP includono politiche DLP pre-scritte allineate ai diversi standard di sicurezza dei dati che le aziende devono rispettare.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione dei log, il SIEM e il SOAR, il tutto con un'interfaccia utente comune, insight condivisi e flussi di lavoro connessi.
Proteggi i dati riservati on-premises e nel cloud. IBM Security Guardium è una soluzione per la sicurezza dei dati in grado di adattarsi ai cambiamenti dell'ambiente delle minacce, offrendo visibilità, conformità e protezione complete per l'intero ciclo di vita della sicurezza dei dati.
Implementate on-premises o in un cloud ibrido, le soluzioni IBM per la sicurezza dei dati aiutano a acquisire maggiore visibilità e insight per indagare e porre rimedio alle minacce informatiche, applicare controlli in tempo reale e gestire la conformità normativa.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'autore dell'attacco per decodificare e ripristinare l'accesso ai dati.
SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.