Software de prevenção de perda de dados - Data loss prevention software

O software de prevenção de perda de dados (DLP) detecta potenciais violações de dados / transmissões de filtração de dados e as evita monitorando, detectando e bloqueando dados confidenciais durante o uso (ações de endpoint), em movimento (tráfego de rede) e em repouso (armazenamento de dados) .

Os termos " perda de dados " e " vazamento de dados " estão relacionados e costumam ser usados ​​de forma intercambiável. Os incidentes de perda de dados se transformam em incidentes de vazamento de dados nos casos em que a mídia contendo informações confidenciais é perdida e subsequentemente adquirida por uma parte não autorizada. No entanto, um vazamento de dados é possível sem perder os dados do lado de origem. Outros termos associados à prevenção de vazamento de dados são detecção e prevenção de vazamento de informações (ILDP), prevenção de vazamento de informações (ILP), monitoramento e filtragem de conteúdo (CMF), proteção e controle de informações (IPC) e sistema de prevenção de extrusão (EPS), em oposição a sistema de prevenção de intrusão .

Categorias

Os meios tecnológicos empregados para lidar com incidentes de vazamento de dados podem ser divididos em categorias: medidas de segurança padrão, medidas de segurança avançadas / inteligentes, controle de acesso e criptografia e sistemas DLP designados, embora apenas a última categoria seja considerada atualmente como DLP.

Medidas padrão

Medidas de segurança padrão, como firewalls, sistemas de detecção de intrusão (IDSs) e software antivírus , são produtos comumente disponíveis que protegem os computadores contra ataques externos e internos. O uso de firewall, por exemplo, impede o acesso de estranhos à rede interna e um sistema de detecção de intrusão detecta tentativas de intrusão de estranhos. Ataques internos podem ser evitados por meio de varreduras antivírus que detectam cavalos de Tróia que enviam informações confidenciais e pelo uso de thin clients que operam em uma arquitetura cliente-servidor sem dados pessoais ou confidenciais armazenados em um dispositivo cliente.

Medidas avançadas

Medidas de segurança avançadas empregam aprendizado de máquina e algoritmos de raciocínio temporal para detectar o acesso anormal aos dados (por exemplo, bancos de dados ou sistemas de recuperação de informações) ou troca de e-mail anormal, honeypots para detectar pessoal autorizado com intenções maliciosas e verificação baseada em atividade (por exemplo, reconhecimento da dinâmica de pressionamento de tecla ) e monitoramento da atividade do usuário para detectar o acesso anormal aos dados.

Sistemas designados

Os sistemas designados detectam e evitam tentativas não autorizadas de copiar ou enviar dados confidenciais, intencionalmente ou não, principalmente por pessoal autorizado a acessar as informações confidenciais. Para classificar certas informações como confidenciais, eles usam mecanismos, como correspondência exata de dados, impressão digital de dados estruturados , métodos estatísticos, correspondência de regras e expressões regulares , léxicos publicados, definições conceituais, palavras-chave e informações contextuais, como a fonte dos dados.

Tipos

Rede

A tecnologia de rede (dados em movimento) é normalmente instalada em pontos de saída de rede próximos ao perímetro. Ele analisa o tráfego de rede para detectar dados confidenciais que estão sendo enviados em violação das políticas de segurança da informação . Vários pontos de controle de segurança podem relatar atividades a serem analisadas por um servidor de gerenciamento central.

Endpoint

Os sistemas de endpoint (dados em uso) são executados em estações de trabalho ou servidores de usuários finais internos. Assim como os sistemas baseados em rede, a tecnologia baseada em terminais pode atender tanto às comunicações internas quanto externas. Portanto, ele pode ser usado para controlar o fluxo de informações entre grupos ou tipos de usuários (por exemplo, ' paredes da China '). Eles também podem controlar as comunicações por e-mail e mensagens instantâneas antes de chegarem ao arquivo corporativo, de forma que uma comunicação bloqueada (ou seja, uma que nunca foi enviada e, portanto, não está sujeita às regras de retenção) não será identificada em uma situação de descoberta legal subsequente. Os sistemas de terminais têm a vantagem de poder monitorar e controlar o acesso a dispositivos físicos (como dispositivos móveis com recursos de armazenamento de dados) e, em alguns casos, podem acessar informações antes de serem criptografadas. Os sistemas de terminais também têm acesso às informações necessárias para fornecer classificação contextual; por exemplo, a fonte ou o autor que gera o conteúdo. Alguns sistemas baseados em terminais fornecem controles de aplicativos para bloquear as tentativas de transmissão de informações confidenciais e fornecem feedback imediato ao usuário. Eles devem ser instalados em todas as estações de trabalho da rede (normalmente por meio de um Agente DLP ), não podem ser usados ​​em dispositivos móveis (por exemplo, telefones celulares e PDAs) ou onde não podem ser instalados de forma prática (por exemplo, em uma estação de trabalho em um cibercafé ) .

Identificação de dados

DLP inclui técnicas para identificar informações confidenciais ou sigilosas. Às vezes confundida com descoberta, a identificação de dados é um processo pelo qual as organizações usam uma tecnologia DLP para determinar o que procurar.

Os dados são classificados como estruturados ou não estruturados. Os dados estruturados residem em campos fixos dentro de um arquivo, como uma planilha, enquanto os dados não estruturados se referem a texto ou mídia de formato livre em documentos de texto, arquivos PDF e vídeo. Estima-se que 80% de todos os dados são não estruturados e 20% estruturados.

Proteção contra perda de dados (DLP)

Às vezes, um distribuidor de dados, inadvertidamente ou publicamente, fornece dados confidenciais a um ou mais terceiros, ou os usa de forma autorizada. Algum tempo depois, alguns dos dados são encontrados em um local não autorizado (por exemplo, na web ou no laptop de um usuário). O distribuidor deve então investigar a origem da perda.

Dados em repouso

" Dados em repouso " refere-se especificamente a informações que não estão se movendo, ou seja, que existem em um banco de dados ou compartilhamento de arquivos. Essas informações são de grande preocupação para empresas e instituições governamentais, simplesmente porque quanto mais tempo os dados permanecem sem uso no armazenamento, maior a probabilidade de serem recuperados por pessoas não autorizadas. A proteção desses dados envolve métodos como controle de acesso, criptografia de dados e políticas de retenção de dados .

Dados em uso

" Dados em uso " refere-se aos dados com os quais o usuário está interagindo no momento. Os sistemas DLP que protegem os dados em uso podem monitorar e sinalizar atividades não autorizadas. Essas atividades incluem operações de captura de tela, copiar / colar, imprimir e enviar fax envolvendo dados confidenciais. Podem ser tentativas intencionais ou não intencionais de transmitir dados confidenciais pelos canais de comunicação.

Dados em movimento

" Dados em movimento " são os dados que atravessam uma rede até um ponto final. As redes podem ser internas ou externas. Os sistemas DLP que protegem os dados em movimento monitoram os dados confidenciais que trafegam em uma rede por meio de vários canais de comunicação.

Veja também

• Lista de software de backup
• Ferramenta de remoção de metadados
• Detecção e resposta de endpoint
• Segurança de endpoint

Referências