Data Loss Prevention (DLP) existuje od počátku 21. století, kdy ho průkopnicky zavedly různé startupy zaměřené primárně na síťové kontroly k blokování úniků na perimetru.
Mnoho prvních uživatelů nasadilo DLP jako základní prvek své kybernetické bezpečnosti, často spolu s firewally a systémy detekce průniku, k vynucování zásad pro data v pohybu.
Postoj k DLP se od těchto raných dnů bohužel posunul. Předpisy jako GDPR v roce 2018 a CCPA v roce 2020 nařídily přísnější zacházení s daty a tlačily organizace, aby DLP používaly pro auditní stopy a reportování spíše než pro čistou prevenci hrozeb. Pokuty za nedodržení byly tvrdé a nesmlouvavé.
Nicméně, když se soulad stane důležitějším než řízení rizik, priority se nezarovnají. Toto prostředí způsobilo, že se DLP stalo převážně cvičením s odškrtáváním políček z důvodů souladu.
K problému přispívá to, že rané formy DLP, které se silně spoléhaly na statická pravidla a data v klidu, prostě nestačily na nové obchodní reality. Bezpečnostní profesionálové byli chyceni v pasti catch-22, implementovali nejlepší řešení, která tehdy existovala, ale stále byli zasaženi pokutami za úniky dat, protože DLP technologie ještě nebyla dostatečně dobrá.
V naší moderní době je možné řídit riziko a udržet soulad, když se použije správný systém. DLP se v průběhu let významně změnilo a organizace by měly přehodnotit své potřeby ohledně DLP, stejně jako to, jak může vypadat moderní DLP řešení. Trik je v tom použít systém, který byl vybudován od základů s ohledem na obě potřeby.
Moderní DLP zahrnuje behaviorální analytiku k detekci anomálií, čímž se liší od starších systémů založených na pravidlech, které často generují vysoké procento falešných poplachů.
Globální objemy dat dosáhly ohromujících úrovní a budou pokračovat v růstu, jak se svět stává více závislým na digitálních datech. Vše od smluv po dokumentaci se přesouvá online, čímž se výrazně zvyšuje potenciální riziko ztráty dat.
Bezpečnostní lídři musí vyhodnotit aktuální nasazení proti těmto evolucím, aby uzavřeli mezery v ochraně. To by zahrnovalo mapování jejich datových ekosystémů, identifikaci míst vystavení, provádění hodnocení rizik, která prioritizují aktiva s vysokou hodnotou, začlenění chování uživatele do vynucování zásad a integraci toho všeho pod jedním systémem, který neustále monitoruje data v klidu i v pohybu.
Pokud to zní jako hodně, je to tak. Ale je to také možné s moderním, komplexním DLP řešením.
Příprava na tuto novou realitu vyžaduje pochopení toho, jak nové prostředí rizik vypadá, jaké nástroje a procesy by organizace měla zvážit a jak přistupovat k dodavatelům.
Vezměte v úvahu skutečnost, že 70 % ztráty dat dochází na koncových bodech, což dává nápovědu, kde by měla být největší koncentrace ochranných opatření. Zjednodušená odpověď „zaměřte se na koncové body“ však nezohledňuje komplexní povahu ukládání a přenosu dat. I když jsou data nejčastěji ztracena na koncových bodech, kompromitace vedoucí ke ztrátě dat nezačíná a nekončí tam, často vzniká na jiném místě.
Příklad by měl jasně ukázat, proč musí bezpečnostní profesionálové přehodnotit své současné DLP postupy a zároveň vybírat nástroje, které poskytují kontextové poznatky.
Kontextově citlivá ochrana vyžaduje viditelnost napříč sítí, cloudovými aplikacemi a chováním uživatelů, ne jen koncovým bodem. Tento průvodce projde nové DLP prostředí, jak vypadá efektivní DLP a jak se stát informovanějším kupcem, pokud jde o DLP dodavatele.
Rozsah toho, kde leží data organizace, dramaticky vzrostl. Širší použití SaaS nástrojů a třetích stran než kdy předtím znamená, že data přirozeně tíhnou ke cloudu. To vedlo k rozprostření dat a ROT (redundantní, zastaralá nebo triviální data) a často to vede k tomu, že organizace mají příliš mnoho dat na příliš mnoha místech.
Tento problém je zhoršován v hybridních prostředích, zejména pokud se aktiva nepřetržitě přesouvají z on-prem do cloudového prostředí. Tato migrace vystavuje data novým rizikům a protože poskytovatelé cloudu zajišťují úložiště, ale organizace si zachovávají odpovědnost za bezpečnostní konfigurace, nezabezpečení poskytovatelé cloudového úložiště přenášejí většinu rizika na organizaci.
Organizace zvýšily svou závislost na dodavatelích třetích stran, přičemž průměrná firma používá 106 SaaS aplikací v roce 2024. Podniky průměrně používají 131 SaaS nástrojů. To jsou jen SaaS nástroje, ne další dodavatelé.
Dodavatelé mohou často přistupovat k citlivým datům, čímž vytvářejí potenciální body úniku, pokud jim chybí přísné kontroly. Zatímco týmy obvykle auditují přístup dodavatelů, nekonzistentní standardy napříč partnery mohou komplikovat vynucování, zatímco rozšířené přijímání SaaS a zjednodušená implementace mohou znamenat, že SaaS dodavatelé nastupují za dny, aniž by o tom bezpečnostní tým vůbec věděl nebo je mohl řádně prověřit.
Open-source vývojářská prostředí jsou další oblastí rizika. Open-source komponenty mohou obsahovat známé i neznámé zranitelnosti. Když jsou tyto komponenty použity ve vývojových nebo produkčních systémech, útočníci je mohou zneužít k získání neoprávněného přístupu, potenciálně k exfiltraci dat.
Rozsáhlá studie rozšíření VS Code zjistila, že více než 2 000 rozšíření (zhruba 8,5 % všech testovaných rozšíření) je náchylných k úniku dat. Tyto open-source komponenty jsou obzvláště rizikové, protože vzhledem ke své povaze mohou aktéři hrozeb snadno vyvinout exploit kity nebo útoky cílící na ně. Identifikací široce používané komponenty mohou útočníci cílit na tisíce společností prostřednictvím jediné zranitelnosti.
Zásady vzdálené a hybridní práce decentralizovaly přístup k datům. Zaměstnanci přistupují k systémům z různých míst a zařízení, čímž se zvyšuje riziko koncových bodů. Více lokalit a globální pracovní síla mohou rovněž fragmentovat správu dat, což dále vede k rozprostření dat.
Široce distribuovaná pracovní síla může být rovněž noční můrou pro soulad. Různé země mají různé zákony o tom, kde mohou být data ukládána nebo zpracovávána, což vede ke komplikacím, když jsou data přístupná z někoho mimo tyto jurisdikce.
Různé týmy mohou mít specifické preference pro nástroje pro spolupráci, jako je preference WhatsAppu v LATAM oproti Slacku nebo Teams v USA, což komplikuje standardizovaný DLP proces a celkovou viditelnost dat.
Výše uvedené prvky činí DLP ještě obtížnějším, než už bylo, což vede k prostředí, kde více než 50 % firem utrpělo narušení podnikání kvůli ztrátě dat, zatímco pouze 35 % se domnívá, že má zaveden „vyzrálý“ DLP program.
88 % všech událostí ztráty dat bylo v roce 2024 způsobeno 1 % uživatelů, což zdůrazňuje, jak nezbytné je zabezpečit každé zařízení a každý bod potenciální ztráty. Vše, co infiltrátor potřebuje, je jediné slabé místo, aby získal dostatek přístupu k způsobení významné škody.
Vzhledem k novému datovému prostředí je podhodnocením říci, že viditelnost je obtížnou a komplexní výzvou. Data nyní žijí napříč koncovými body, SaaS aplikacemi, IaaS platformami, nástroji třetích stran, platformami pro spolupráci, osobními zařízeními, vícero zařízeními ve vlastnictví zaměstnanců, IoT zařízeními a cloudovými úložišti.
Tradiční nástroje viditelnosti založené na perimetru nemohou konzistentně sledovat nebo vynucovat zásady napříč všemi těmito vrstvami a zaměstnanci mohou používat neautorizované služby ke sdílení souborů nebo aby si usnadnili práci, často bez vědomí IT.
The statistiky týkající se nedostatku viditelnosti v organizaci jsou otevírajícími oči.
Bezpečnostní oddělení nebyla původně navržena tak, aby sledovala data napříč druhy prostředí, ve kterých nyní fungují, a snaží se přizpůsobit tomuto novému normálu. Viditelnost se rozpadá, protože nástroje nejsou integrované, data nemají hranice a většina klasifikace je povrchní. To, co prochází jako „klasifikace“, je často jen porovnávání klíčových slov nebo jednorázové označení souboru jako „důvěrný“ s předpokladem, že tak zůstane, i když je zkopírován nebo sdílen.
I s vynikající klasifikací může být vynucení silné datové hygieny obtížné. V mnoha organizacích je samotná datová vrstva fragmentovaná a oddělená od systémů, které ji mají sledovat. Dokud bezpečnostní profesionálové nepřehodnotí, kde a jak instrumentují své používání dat, komplexní viditelnost bude i nadále selhávat.
DLP je efektivní jen tehdy, pokud pokrývá všechna data organizace, což může být výzva v případě fragmentovaného úložiště, což vede k neúplné ochraně.
Moderní podniky trpí rozprostřením dat z výše uvedených důvodů, přičemž datová aktiva jsou stále více rozptýlena napříč mnoha systémy a úložnými lokacemi. Tradiční DLP řešení byla navržena pro starší, jednodušší infrastruktury jako on-premises servery, spravované koncové body a podnikové sítě. Jak se práce přesunula do SaaS aplikací, cloudového úložiště, nástrojů založených na prohlížeči, hybridních cloudů a vzdálené práce, tyto starší předpoklady již neplatí.
Kvůli tomuto posunu se mnoho citlivých dat společnosti nyní nachází nebo pohybuje v kanálech, které tradiční DLP nemůže monitorovat. Například zaměstnanci mohou používat SaaS aplikace nebo webové nástroje k úpravě, nahrávání nebo sdílení citlivých souborů. Starší DLP řešení umístěná pouze na hranicích koncových bodů tyto kanály často zcela přehlížejí.
Tato fragmentace vytváří slepá místa, kde k únikům dat může dojít mimo rozsah pokrytí tradičního DLP, což vede k částečnému nasazení DLP, například jen na koncových bodech nebo on-prem systémech. Není divu, že to vede pouze k částečné ochraně, což vyžaduje, aby bezpečnostní lídři hledali komplexnější řešení, pokud tyto limity vůbec dokážou identifikovat.
Insider risk management (IRM) je kritickým rozšířením jakékoli komplexní DLP strategie. Na rozdíl od externích hrozeb interní rizika pocházejí od jednotlivců, kteří již mají přístup k interním systémům nebo přihlašovacím údajům. To zahrnuje zaměstnance, dodavatele a partnery, ať už jsou jejich akce úmyslné, nebo z nedbalosti.
Lidské faktory dominují událostem ztráty dat. Podle Verizon 2024 Data Breach Investigations Report 68 % úniků dat zahrnuje nezlomyslný lidský prvek, jako je padnutí na sociální inženýrství.
IRM je nezbytným rozšířením rozsahu DLP. DLP bez povědomí o interním riziku nezohledňuje nejčastější příčiny vystavení dat. Komplexní DLP strategie musí zahrnovat nástroje a procesy schopné identifikovat a rychle reagovat na interní riziko.
Efektivní DLP začíná prioritizací, jinak budou snahy příliš široké a rozředěné.
„Organizace si často představují, že zabezpečení dat pomocí DLP řešení je jen otázkou nakonfigurování nástroje a vše bude v pořádku,“ říká Ján Lakatoš, Director of Product ve společnosti Safetica. „Ve skutečnosti to obnáší integraci zcela nového bezpečnostního procesu do jejich pracovního prostředí a nalezení rovnováhy mezi přísnou bezpečností a umožněním podnikání. A dosáhnout rovnováhy je téměř nemožné, protože je v hře tolik proměnných.
Ján Lakatoš, Director of Product ve společnosti Safetica
Viditelnost je základem každé efektivní DLP strategie. Bez ní organizace nemohou objevit, kde citlivá data sídlí, jak se pohybují nebo kdo s nimi interaguje.
Efektivní viditelnost vyžaduje kontinuální data discovery napříč všemi prostředími. Musí být rovněž identitně uvědomělá, propojující přístup k datům s konkrétními uživateli a zařízeními. To je zásadní jak pro vynucování zásad v reálném čase, tak pro vyšetřování po incidentu.
Žádný DLP systém nemůže aplikovat kontroly nebo detekovat zneužití, aniž by nejprve věděl, jaká data existují a jak jsou uložena.
Jakmile je viditelnost zavedena, monitoring umožňuje organizaci sledovat přístup k datům a pohyb v reálném čase. Bez monitoringu zůstává viditelnost pasivní, což může být užitečné pro audity, ale není to užitečné pro prevenci nebo detekci incidentů.
Efektivní monitoring zachycuje jak to, kde data jsou, tak to, jak se chovají. Určuje, kdo k nim přistupoval, jaké akce provedl a zda jsou tyto akce v souladu se zásadami společnosti. V ideálním případě by se monitoring rozšířil na schválené i neschválené nástroje, včetně nástrojů založených na prohlížeči a SaaS platformách.
Monitoring by měl být kontextový, protože logování, že byl soubor přístupný, nestačí. Systém by měl zachytit, kdo k němu přistupoval, odkud, na jakém zařízení a zda byl sdílen nebo exfiltrován. Tento kontext je kritický pro detekci rizik, protože je to jediný způsob, jak nakrmit sofistikovanější DLP nástroje, které dokážou detekovat indikátory kompromitace nebo útoky interních rizik prostřednictvím anomálních vzorců chování spíše než pravidel založených na uživateli nebo signaturách.
Bez kontinuálního, vícevrstvého monitoringu nemohou DLP kontroly reagovat na hrozby reálného světa nebo dynamicky vynucovat zásady.
Fragmentovaná prostředí vytvářejí slepá místa a zpomalují reakční doby, takže konsolidace je nezbytná. Sjednocená datová architektura poskytuje jasnou viditelnost do všech datových interakcí. Tato jasnost posiluje přesnost detekce a snižuje počet potenciálních bodů selhání.
Mít více pravidel napříč platformami ohledně klasifikace dat nebo zásad uchování nebo rozdílné zásady na základě rozdílných databází nebo prostředí může vést ke konfliktům. Konsolidace a standardizace zajišťují, že tato pravidla jsou aplikována jednotně, a odstraňují konfigurační mezery.
To vede k rychlejší reakci na incidenty, protože je jen jedno místo, kde lze zkontrolovat logy a upravit kontroly. Konsolidace by měla rovněž zahrnovat audit, který zajistí, že vaše data nejsou uložena v veřejně přístupných nebo nezabezpečených databázích, a zajistí, že jste neminuli oblasti, kde mohou vaše data žít. Učiňte prioritou konsolidaci snížením rozptýlených datových zdrojů na jediný, autoritativní bod informací, aby bylo možné rozhodnutí a akce učinit rychle a s jasností situace.
Komplexnost dodavatele a příliš mnoho nástrojů může výrazně zvýšit šance na ztrátu dat. Starší nástroje znesnadňují implementaci efektivního DLP, což je důvod, proč 78 % organizací se v roce 2024 potýkalo s DLP nástroji.
To neplatí jen pro vaši organizaci, ale i pro váš tým. Nedostatečné personální obsazení a mezery v dovednostech jsou rozšířené. Téměř všichni CISO hlásí, že jejich týmy jsou nedostatečně obsazené, a 90 % profesionálů kybernetické bezpečnosti hlásí mezery v dovednostech ve svých týmech. Příliš mnoho bezpečnostních lídrů však tuto mezeru vidí a myslí si, že odpovědí je více nástrojů.
To může vést k vyhoření vašeho týmu a příliš velké složitosti, což má dopad na efektivitu vašeho týmu. Zaměřte se na automatizaci pro řešení rutinních úkolů. Omezte rozprostření nástrojů na nezbytné integrace. To zvyšuje kapacitu a zabraňuje přetížení.
Nepřidávejte k přetížení již napjatého týmu přidáváním složitosti nástrojů do směsi.
Existuje spousta DLP nástrojů a je úkolem lídra kybernetické bezpečnosti být informovaným spotřebitelem, jinak můžete nakupovat nástroj, který se špatně hodí pro vaši společnost, váš bezpečnostní tým a váš rizikový profil.
Ne všechny nástroje jsou si rovny a neslouží všem společnostem rovnocenně. Bezpečnostní lídři by měli hledat nástroje, které usnadňují proaktivitu a sladí se s prioritami, které jste identifikovali jako součást vaší DLP bezpečnostní strategie.
Níže poskytujeme seznam toho, jaké typy nástrojů vám pomohou vybudovat efektivní DLP technologický stack.
Nástroje pro discovery a klasifikaci skenují data organizace, najdou, kde jsou informace uloženy, a roztřídí je do smysluplných kategorií. Jejich klíčovým účelem je zviditelnit skrytá data napříč všemi lokacemi (cloud, on-prem, třetí strany) a správně je označit, aby mohla být aplikována správná ochrana.
Tyto nástroje se dívají napříč počítači, servery, cloudovým úložištěm, e-mailovými systémy, sdílenými složkami a někdy dokonce i starými archivy. Identifikují věci jako záznamy zákazníků, platební údaje, osobní identity, interní dokumenty a duševní vlastnictví.
Po identifikaci aplikují na data jasné značky, které umožňují automatické vynucování bezpečnostních pravidel, jako je blokování stahování nebo zabránění externímu sdílení.
Nástroje Mobile Device Management (MDM) vytvářejí kontrolované prostředí pro jakýkoli telefon, tablet nebo dokonce notebook, který se dotkne obchodních informací.
Tyto nástroje dávají organizaci moc nastavit pravidla, jak se zařízení chovají, bez ohledu na to, kde se tato zařízení nacházejí. To je ústřední pro prevenci ztráty dat, protože největším rizikem u mobilních zařízení je, že se denně pohybují a připojují k více sítím. Opouštějí kanceláře, připojují se k nebezpečným sítím, ztrácejí se a ukládají citlivé soubory, které se mohou snadno dostat do nesprávných rukou, pokud je zařízení odcizeno.
MDM řešení řeší několik problémů najednou, jako je:
Nástroje IRM se zaměřují na prevenci ztráty dat, která pochází od lidí uvnitř organizace. To zahrnuje zaměstnance, dodavatele a kohokoli dalšího s legitimním přístupem k systémům.
Tyto nástroje sledují akce, které by mohly vést k odcizení nebo zneužití dat. Hledají vzorce chování, které naznačují rostoucí riziko, jako jsou neobvykle velká stahování, pokusy o obejití omezení, kopírování velkého množství souborů, přístup k datům v podivných hodinách nebo přesun informací do míst, která nepatří zaměstnavateli.
Anomální chování ne vždy znamená špatný úmysl, ale riziko tam stále je. V nejhorším případě mohl být uživatelský účet kompromitován a v nejlepším případě data zaměstnavatele padají mimo rozsah viditelnosti pro organizaci. Výsledek se nemění. Riziko ztráty dat a porušení dat je stále přítomno.
Interní hrozby nemusí být vždy zlomyslné a často nejsou. Nicméně nevinná nedbalost nebo špatná bezpečnostní hygiena nesnižují potřebu řešit IR.
Řízení interních rizik je často považováno za oddělené od nástrojů pro ztrátu dat, protože se zaměřuje na lidské chování místo na pohyby souborů nebo pravidla zařízení. Mělo by se však zvažovat společně s prevencí ztráty dat, protože k mnoha incidentům dochází i tehdy, když jsou tradiční kontroly zavedeny. Doplněním obou můžete dosáhnout bezpečnějšího prostředí a organizace.
Tyto kroky by vám měly poskytnout silný výchozí bod pro to, jak implementovat moderní, efektivní DLP strategii.
„Je důležité pochopit, jaké jsou cíle nebo očekávání,“ říká Miloš Blata, Director of Sales Engineering ve společnosti Safetica. „Je to klasifikace dat, ochrana dat, bezpečné perimetrové kontroly, objevování, kde Data-in-Rest sídlí, splnění regulatorního souladu nebo standardu, vědět, co se obecně děje, logování a efektivní správa toho (ideálně pomocí AI), kombinace některých z toho, nebo vše dohromady? Jakmile je tento 0. krok ujasněn, správa DLP konfigurace se stává mnohem jednodušší.
Miloš Blata, Director of Sales Engineering ve společnosti Safetica
Když přistupujete ke svým dodavatelům, zvažte výše uvedené a položte si následující otázky.
Tyto otázky vám pomohou posoudit, jací dodavatelé budou mít největší dopad na vaši organizaci.
Při dalším budování své DLP strategie nezapomeňte zvažovat základy. Solidní strategie je taková, která pokrývá všechny aspekty ochrany dat, ale také začleňuje nová rizika představovaná rozšířenou digitální stopou a stále se vyvíjejícími hrozbami interních rizik. Silný základ však stačí k zajištění toho, že se vaše DLP strategie může přizpůsobit těmto novým hrozbám a rizikům. Najděte si čas na vybudování tohoto základu, pak jste připraveni najít správné nástroje a dodavatele.