数据防泄露 (DLP) 软件可检测潜在的数据泄露/数据泄露传输,并通过监控、检测和阻止使用(终端操作)、移动(网络流量)和静止(数据存储)期间的敏感数据来防止这些泄露/数据泄露传输)。
“数据丢失”和“数据泄露”这两个术语是相关的,并且经常互换使用。 如果包含敏感信息的媒体丢失并随后被未经授权的一方获取,则数据丢失事件会变成数据泄露事件。然而,数据泄漏也是可能的,而不会丢失数据发送端的数据。与数据泄露预防相关的其他术语包括信息泄露检测和预防(ILDP)、信息泄露预防(ILP)、内容监控和过滤(CMF)、信息保护和控制(IPC)和分发预防系统(EPS)。入侵防御系统。
用于处理数据泄露事件的技术手段可分为几类:标准安全措施、高级/智能安全措施、访问控制和加密以及指定的 DLP 系统,尽管目前只有后一类被认为是 DLP。
用于发现恶意或其他不需要的活动并机械响应的常见 DLP 方法是自动检测和响应。大多数 DLP 系统依靠预定义的规则来识别敏感信息并对其进行分类,这反过来又有助于系统管理员将风险点归零。此后,某些区域可能会安装额外的防护措施。
标准安全措施,例如防火墙、入侵检测系统 (IDS) 和防病毒软件,是保护计算机免受外部和内部攻击的常用产品。例如,使用防火墙可以防止外部人员访问内部网络,而入侵检测系统可以检测外部人员的入侵企图。通过防病毒扫描检测发送机密信息的特洛伊木马,以及使用在客户端-服务器架构中运行且客户端设备上不存储个人或敏感数据的瘦客户端,可以避免内部攻击。
高级的安全措施采用机器学习和时间推理算法来检测对数据的异常访问(例如数据库或信息检索系统)或异常的电子邮件交换,用于检测具有恶意意图的授权人员的蜜罐和基于活动的验证(例如击键动态的识别) )和用户活动监控以检测异常数据访问。
特定系统主要检测并防止授权访问敏感信息的人员有意或无意地未经授权复制或发送敏感数据的尝试。为了将某些信息分类为敏感信息,这些使用了精确数据匹配、结构化数据指纹、统计方法、规则和正则表达式匹配、已发布词典、概念定义、关键字和上下文信息(例如数据来源)等机制。
网络DLP(动态数据)通常安装在周边附近的网络出口点。它分析网络流量以检测违反信息安全策略发送的敏感数据。多个终端可以上报网络活动以供中央管理服务器分析。
下一代防火墙 (NGFW) 或入侵检测系统 (IDS) 是可用于在网络上执行 DLP 功能的常见技术示例。复杂的威胁行为者通常可以通过使用加密或压缩等数据脱敏技术来破坏网络 DLP 功能。
终端(使用中的数据)系统在内部最终用户工作站或服务器上运行。与基于网络的系统一样,基于端点的技术可以处理内部和外部通信。因此,它可用于控制用户组或用户类型之间的信息流。他们还可以在电子邮件和即时消息通信到达公司档案之前对其进行控制,以便在后续的规则发现情况中不会识别出被阻止的通信(即从未发送过的通信,因此不受保留规则的约束)。
终端DLP系统的优点是:可以监视和控制对物理设备(例如具有数据存储功能的移动设备)的访问,并且在某些情况下可以在加密之前访问信息。端点系统还可以访问提供上下文分类所需的信息;例如生成内容的来源或作者。一些基于端点的系统提供应用程序控制来阻止机密信息的尝试传输并提供即时的用户反馈。它们必须安装在网络中的每个工作站上(通常通过 DLP Agent),不能在移动设备(例如手机和 PDA)上或在实际无法安装的地方(例如在网吧的工作站上)使用.
随着组织转向云原生技术以加速虚拟团队协作,云现在包含大量关键数据。在云端的数据也需要受到保护,因为它们容易受到网络攻击、意外泄露和内部威胁。
Cloud DLP 监控和审核数据,同时使用策略提供数据的访问和使用控制。它为云中存储的所有数据建立了更大的端到端可见性。
DLP 包括用于识别机密或敏感信息的技术。有时与发现相混淆,数据识别是组织使用 DLP 技术来确定要查找的内容的过程。
数据分为结构化数据和非结构化数据。结构化数据驻留在文件内的固定字段中,例如电子表格,而非结构化数据是指文本文档、PDF 文件和视频中的自由格式文本或媒体。 估计所有数据中有 80% 是非结构化的,20% 是结构化的。
有时,数据分发者会无意中或不经意地将敏感数据提供给一个或多个第三方,或以授权方式自行使用。一段时间后,一些数据被发现在未经授权的地方(例如,在网络上或在用户的笔记本电脑上)。然后经销商必须调查损失的来源。
“静态数据”特指不移动的信息,即存在于数据库或文件共享中的信息。这些信息受到企业和政府机构的高度关注,因为数据在存储中闲置的时间越长,被未经授权的个人检索的可能性就越大。保护此类数据涉及访问控制、数据加密和数据保留策略等方法。
“使用中的数据”是指用户当前正在交互的数据。保护使用中数据的 DLP 系统可以监控和标记未经授权的活动。这些活动包括涉及敏感数据的屏幕捕获、复制/粘贴、打印和传真操作。通过通信通道传输敏感数据可能是有意或无意的尝试。
“动态数据”是通过网络传输到端点的数据。网络可以是内部的或外部的。保护动态数据的 DLP 系统可监控通过各种通信渠道在网络上传输的敏感数据。