Gli asset più importanti per un’azienda sono anche quelli più vulnerabili.
Parliamo dei dati, l’essenza vitale che alimenta l’attività di ogni impresa. Per fortuna, esiste un intero settore specializzato nel proteggere le aziende dalla perdita di informazioni. Questo settore è guidato da un gruppo di fornitori che offrono una tecnologia chiamata Data Loss Prevention, o DLP.
Le tecnologie DLP svolgono principalmente due compiti:
- Individuare i dati sensibili che necessitano di protezione.
- Impedire la fuoriuscita di tali dati.
I dati che queste tecnologie tutelano possono essere suddivisi in tre categorie principali:
- Dati in uso
- Dati in transito
- Dati a riposo
I dati in uso si riferiscono a quelli attivi, solitamente presenti nella RAM, nella cache o nei registri della CPU.
I dati in transito sono quelli che viaggiano attraverso una rete, sia interna e protetta, sia pubblica e non protetta (come Internet o una rete telefonica).
I dati a riposo sono quelli inattivi, archiviati in un database, un file system o un’infrastruttura di storage.
In base alla loro capacità di copertura, le soluzioni DLP si dividono in due gruppi:
- DLP aziendale o EDLP
- DLP integrato o IDLP
Le soluzioni EDLP proteggono da tutti i possibili vettori di dispersione. Al contrario, le soluzioni IDLP si concentrano su un singolo protocollo o su uno dei tre tipi di dati menzionati. Alcuni esempi di soluzioni IDLP sono la sicurezza web, la cifratura delle email e il controllo dei dispositivi.
Cosa aspettarsi da una soluzione DLP efficace?
Non esiste una soluzione DLP universale. La scelta giusta dipende da vari fattori, come le dimensioni e il budget dell’organizzazione, il tipo di dati sensibili, l’infrastruttura di rete e i requisiti tecnici. Individuare la soluzione migliore per la propria azienda richiede impegno e ricerca, per determinare quale approccio DLP, metodo di rilevamento e architettura adottare.
Dopo aver valutato le proprie esigenze, la soluzione DLP ideale dovrebbe offrire il giusto equilibrio tra questi aspetti:
- Copertura completa: i componenti DLP devono proteggere il gateway di rete, monitorando il traffico in uscita e bloccando le perdite via email e traffico web/FTP. Devono anche proteggere i dati archiviati in tutte le risorse aziendali e sugli endpoint, per prevenire la perdita di dati in uso.
- Console di gestione unificata: la gestione di una soluzione DLP richiede tempo e impegno per configurare/manutenere il sistema, definire/gestire le policy, creare report, gestire gli incidenti, individuare/mitigare i rischi e correlare gli eventi. Un’unica console di gestione è fondamentale per queste attività, altrimenti si rischia di introdurre vulnerabilità inutili.
- Gestione degli incidenti per la conformità: quando si verifica una perdita di dati, è fondamentale gestirla correttamente. La perdita di dati è inevitabile, ma il modo in cui si gestisce l’incidente può fare la differenza tra una multa salata e un semplice avvertimento.
- Precisione del metodo di rilevamento: questo aspetto fondamentale distingue le soluzioni DLP efficaci da quelle inefficaci. Le tecnologie DLP si basano su diversi metodi di rilevamento per individuare i dati sensibili. Il pattern matching, che utilizza espressioni regolari, è il metodo più comune, ma spesso genera molti falsi positivi. Le buone tecnologie DLP integrano altri metodi di rilevamento per migliorare la precisione.
Principali approcci DLP
Inizialmente, le soluzioni DLP erano offerte con set di componenti progettati per coprire l’intera infrastruttura aziendale. Oggi, la situazione è cambiata e non tutti i fornitori adottano lo stesso approccio, che si divide in due categorie principali:
- DLP tradizionale
- Agente DLP
Il DLP tradizionale è offerto da fornitori come Forcepoint, McAfee e Symantec. L’approccio tradizionale è ampio e copre il gateway di rete, l’infrastruttura di storage, gli endpoint e il cloud. Questo approccio ha avuto un grande successo, delineando il mercato DLP attuale e conquistando una fetta importante del mercato.
Il secondo approccio, chiamato Agent DLP o ADLP, utilizza agenti endpoint a livello di kernel che monitorano tutte le attività degli utenti e del sistema. Per questo motivo, le soluzioni basate su questo approccio sono note anche come soluzioni Endpoint DLP.
Non è semplice determinare quale sia l’approccio migliore per le esigenze di un’organizzazione. Dipende molto dal tipo di dati da proteggere, dal settore in cui opera l’azienda e dai motivi della protezione. Ad esempio, le aziende del settore sanitario e finanziario sono obbligate a utilizzare il DLP per conformarsi alle normative. Per queste aziende, una soluzione DLP deve individuare informazioni personali e sulla salute attraverso diversi canali e in molte forme diverse.
D’altra parte, se un’azienda necessita di DLP per proteggere la proprietà intellettuale, la soluzione dovrà utilizzare metodi di rilevamento più specializzati. Inoltre, l’individuazione accurata e la protezione dei dati sensibili sono più complesse. Non tutte le soluzioni DLP tradizionali forniscono gli strumenti adatti per questo compito.
Architettura DLP: come gestire la complessità
Le tecnologie DLP sono sofisticate e richiedono input da molte aree diverse: web, email, database, reti, sicurezza, infrastruttura, storage, ecc. Inoltre, l’impatto di una soluzione DLP può coinvolgere anche aree non IT, come l’ufficio legale, le risorse umane e la gestione del rischio. A rendere le cose ancora più complesse, le soluzioni DLP sono in genere difficili da implementare, configurare e gestire.
Le soluzioni DLP tradizionali aggiungono ulteriore complessità, richiedendo più dispositivi e software per funzionare. Questi possono includere dispositivi (virtuali o fisici) e server.
L’architettura di rete dell’organizzazione deve integrare tali dispositivi e tale integrazione deve includere l’ispezione del traffico di rete in uscita e il blocco della posta elettronica. Una volta completata l’integrazione, si aggiunge un ulteriore livello di complessità gestionale, che varia a seconda del fornitore.
Le soluzioni Agent DLP sono in genere meno complesse di quelle tradizionali, in quanto non richiedono molta integrazione di rete. Tuttavia, queste soluzioni interagiscono con il sistema operativo a livello di kernel, quindi è necessario effettuare un’ottimizzazione approfondita per evitare conflitti con il sistema e altre applicazioni.
Panoramica dei fornitori DLP:
Acronis DeviceLock
Acronis DeviceLock offre una soluzione completa per la prevenzione della perdita di dati negli endpoint, proteggendo le informazioni sensibili e controllando le operazioni sui dati. Permette di evitare la perdita di dati a causa di azioni interne malevole o negligenza dei dipendenti, impedendo il trasferimento non autorizzato di dati o l’accesso a file protetti.
Acronis DeviceLock fornisce informazioni dettagliate sulla protezione dei dati, i flussi di dati e il comportamento degli utenti, semplificando la protezione dei dati e riducendo i tempi di reporting. Consente di rispettare le normative e gli standard di sicurezza IT e di ridurre i rischi di fuga di informazioni gestendo le policy sull’utilizzo dei dati.
Offre aggiornamenti senza interruzioni e integrazione nativa con criteri di gruppo. Acronis DeviceLock fornisce una console di gestione centrale, adattabile alle esigenze aziendali, e consente di monitorare l’attività degli utenti, raccogliere registri, utilizzare strumenti di reporting, visualizzare i record di log e ottenere un’architettura modulare per controllare il TCO (Total Cost of Ownership).
Permette di autorizzare le operazioni necessarie per i processi aziendali e di ridurre al minimo le minacce interne. Acronis DeviceLock offre soluzioni per Microsft RDS, Citrix XenApp, Citrix XenDesktop, Lettore di workstation VMware, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation e VMware Horizon. Offre inoltre funzionalità di controllo dello shadowing dei dati, avvisi, registrazione, riconoscimento del contesto e riconoscimento del contenuto.
È possibile registrarsi per una prova GRATUITA di 30 giorni.
ManageEngine
ManageEngine Device Control Plus protegge i dati dalle minacce consentendo di assegnare controlli di accesso basati sui ruoli per i dispositivi, proteggerli da attacchi malware e analizzare i dispositivi.
L’uso di dispositivi rimovibili, come le USB, può causare la perdita di dati, ma non è l’unico rischio. Device Control Plus impedisce l’accesso non autorizzato ai dispositivi. Permette di impostare regole semplici, come l’accesso in sola lettura o il blocco della copia di file da dispositivi rimovibili.
È possibile impostare restrizioni sul tipo di file e sulla dimensione in base ai dati gestiti dall’azienda. Inoltre, è possibile garantire la protezione dei dati in tempo reale, limitando il trasferimento di dati. Identificare e rimuovere i dispositivi dannosi è complesso, ma è possibile creare un elenco di dispositivi affidabili. Ciò assicurerà che nessun dispositivo non autorizzato possa accedere agli endpoint.
È possibile tracciare chi utilizza il dispositivo su quale endpoint con report e audit per monitorare i tentativi di hacking. Lo strumento offre anche avvisi istantanei in caso di accesso non autorizzato. È possibile scaricare il software e usufruire di una prova GRATUITA di 30 giorni.
Digital Guardian
Digital Guardian è nata nel 2003 come Verdasys, con l’obiettivo di prevenire il furto di proprietà intellettuale. Il suo primo prodotto era un agente endpoint in grado di monitorare tutte le attività degli utenti e del sistema.
Oltre a monitorare le attività illegali, la soluzione registra anche attività apparentemente innocue, per individuare comportamenti sospetti. Il report di registrazione può essere analizzato per rilevare eventi che le soluzioni TDLP non sono in grado di acquisire.
DG ha acquisito Code Green Networks per integrare la sua soluzione ADLP con gli strumenti DLP tradizionali. Tuttavia, l’integrazione tra le soluzioni ADLP e TDLP di DG è limitata e vengono vendute separatamente.
Forcepoint
Forcepoint è tra i leader nel “quadrante magico” di Gartner dei fornitori TDLP. La sua piattaforma di sicurezza include una serie di prodotti per il filtraggio degli URL, la posta elettronica e la sicurezza web. Questi strumenti sono integrati da soluzioni di terze parti: SureView Insider Threat Technology, Stonesoft NGFW di McAfee e Skyfence CASB di Imperva.
L’architettura della soluzione di Forcepoint è semplice, rispetto ad altre soluzioni. Include server per la gestione, il monitoraggio del traffico dati e di rete e il blocco della posta elettronica/monitoraggio del traffico web. La soluzione è intuitiva e include molte policy, classificate per paese, settore, ecc.
Alcune funzionalità rendono unica la soluzione Forcepoint DLP, come la capacità OCR di individuare dati sensibili nei file immagine e la classificazione del rischio di incidente, per aiutare gli amministratori a decidere quali incidenti esaminare prioritariamente.
McAfee
Dopo l’acquisizione da parte di Intel, McAfee non ha investito molto nella sua offerta DLP. Di conseguenza, i prodotti non sono stati aggiornati e hanno perso terreno rispetto alle offerte concorrenti. Alcuni anni dopo, Intel ha scorporato la sua divisione di sicurezza e McAfee è tornata a essere un’azienda autonoma. Successivamente, la sua linea di prodotti DLP ha ricevuto gli aggiornamenti necessari.
La soluzione McAfee DLP si compone di tre parti principali, che coprono:
- Rete
- Rilevamento
- Endpoint
Un componente unico rispetto alle altre offerte DLP è il monitor McAfee DLP, che consente l’acquisizione di dati da incidenti causati da violazioni delle policy, insieme a tutto il traffico di rete. Questo componente consente di analizzare la maggior parte dei dati e di individuare incidenti che altrimenti potrebbero passare inosservati.
ePolicy Orchestrator di McAfee si occupa della maggior parte della gestione della soluzione DLP, ma alcune attività di gestione devono essere eseguite al di fuori dell’orchestrator. L’azienda deve ancora integrare completamente la sua offerta DLP, ma non è chiaro se ciò accadrà in futuro.
Symantec
Symantec è leader indiscusso nel campo delle soluzioni DLP, grazie alle continue innovazioni del suo portafoglio prodotti. L’azienda ha la base installata più grande tra tutti i fornitori DLP. La soluzione adotta un approccio modulare, con un componente software diverso per ogni funzione. L’elenco dei componenti è notevole e include Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover, ecc.
In particolare, l’esclusivo componente Data Insight fornisce visibilità sull’utilizzo dei dati non strutturati, sulla proprietà e sulle autorizzazioni di accesso, consentendogli di competere con prodotti al di fuori dell’ambito DLP e di fornire un valore aggiunto alle organizzazioni che possono sfruttare questa capacità.
Il DLP di Symantec può essere personalizzato in molti modi diversi. Quasi ogni funzionalità ha le sue configurazioni, offrendo un elevato livello di ottimizzazione dei criteri. Tuttavia, questo vantaggio si traduce in una maggiore complessità. È probabilmente la soluzione più complessa sul mercato e la sua implementazione e il suo supporto possono richiedere molte ore.
RSA
La soluzione DLP di EMC, RSA Data Loss Prevention, consente di individuare e monitorare il flusso di dati sensibili, come la proprietà intellettuale aziendale e i dati delle carte di credito dei clienti. La soluzione aiuta a istruire gli utenti finali e ad applicare controlli su email, web, telefoni, ecc., per ridurre i rischi di compromissione dei dati critici.
RSA Data Loss Prevention si distingue per la sua copertura completa, l’integrazione della piattaforma e l’automazione del flusso di lavoro. Offre una combinazione di classificazione dei contenuti, fingerprinting, analisi dei metadati e policy esperte per identificare le informazioni sensibili con la massima accuratezza.
L’ampia copertura di EMC include molti vettori di rischio, non solo email, web e FTP, ma anche social media, dispositivi USB, SharePoint e molti altri. Il suo approccio incentrato sull’educazione degli utenti mira a creare consapevolezza del rischio tra gli utenti finali, influenzando il loro comportamento quando si tratta di dati sensibili.
CA Data Protection
CA Data Protection (l’offerta DLP di Broadcom) aggiunge una quarta classe di dati, oltre a quelli in uso, in transito e a riposo: i dati in accesso. Si concentra sulla posizione dei dati, su come vengono gestiti e sul loro livello di sensibilità. La soluzione mira a ridurre la perdita di dati e l’uso improprio, controllando non solo le informazioni, ma anche l’accesso a esse.
La soluzione promette agli amministratori di rete di ridurre i rischi per le risorse più critiche, controllare le informazioni in tutte le sedi aziendali, mitigare le modalità di comunicazione ad alto rischio e consentire la conformità alle politiche normative e aziendali. Inoltre, getta le basi per una transizione ai servizi cloud.
Risparmiare o perdere milioni?
La soluzione DLP giusta può far risparmiare milioni di euro, ma una scelta sbagliata o un utilizzo errato possono causare la perdita di milioni. Se si pensa che la scelta della soluzione DLP sia semplice come confrontare le funzionalità, si sbaglia di grosso.
È necessario quindi dedicare un grande sforzo non solo per far funzionare una soluzione DLP dopo l’acquisto, ma anche per analizzare tutte le offerte e scegliere quella più adatta alla propria organizzazione.