La prevenzione della perdita di dati (DLP – Data Loss Prevention) è un insieme di pratiche (e prodotti) che assicurano che i dati sensibili o critici di un’organizzazione rimangano disponibili per gli utenti autorizzati e non vengano condivisi con gli utenti non autorizzati. Con molte aziende che costruiscono il loro intero modello di business attorno alla raccolta e all’analisi dei dati, risulta sempre più necessario implementare una difesa rigorosa di tali dati per adeguarli al loro valore crescente.

Qual è lo scopo della prevenzione della perdita di dati?

Digital Guardian, fornitore di soluzioni DLP, delinea i tre principali casi d’uso della prevenzione della perdita di dati:

  • Protezione delle informazioni di identificazione personale e garanzia della conformità legale. Molte organizzazioni dispongono di enormi database pieni di informazioni potenzialmente sensibili sui loro clienti e contatti commerciali, che vanno dagli indirizzi e-mail alle cartelle cliniche e finanziarie, che potrebbero causare danni se cadessero nelle mani sbagliate. Bisogna assicurarsi che i dati rimangano sicuri, non solo perché è la cosa giusta da fare, ma anche perché una serie di leggi richiede che lo si faccia.
  • Protezione della proprietà intellettuale. La vostra organizzazione ha quasi certamente proprietà intellettuali e segreti commerciali che volete tenere fuori dalle mani dei concorrenti. La prevenzione della perdita di dati mira a impedire che i dati vengano rubati tramite spionaggio aziendale o esposti inavvertitamente online.
  • Ottenere visibilità nei vostri dati. Parte del processo per mettere al sicuro i dati implica capire dove risiedono i dati nella vostra infrastruttura e come “si muovono”. Nell’era dei cloud pubblici e ibridi, questo può essere un compito complesso e gli strumenti DLP hanno l’ulteriore vantaggio di offrire una visione d’insieme della propria infrastruttura dati.

Perché è importante il DLP?

L’importanza di DLP è confermata dai risultati allarmanti di dati non adeguatamente protetti. Il 2019 è stato considerato “il peggior anno registrato per violazioni”, con IBM che ha fissato il costo medio di una violazione dei dati a 3,92 milioni di dollari. Oltre all’aumento della frequenza e del valore delle violazioni dei dati, Digital Guardian delinea una serie di motivi per cui i servizi DLP vengono adottati sempre più frequentemente dalle organizzazioni.

La necessità di conformità normativa gioca un ruolo importante, così come il potere e la responsabilità crescenti dei CISO, che sono in contatto frequente con i CEO e altri dirigenti e offrono visibilità ai problemi di sicurezza come la protezione dei dati. Inoltre, molte offerte DLP sono servizi hosted, il che le rende interessanti per le aziende che non dispongono del personale interno per creare e imporre le proprie policy DLP.

Come funziona la prevenzione della perdita di dati

Come afferma Geekflare, il DLP può essere ridotto a una semplice coppia di direttive: identificare i dati sensibili che devono essere protetti e quindi prevenirne la perdita. Ovviamente, il diavolo è nei dettagli. Il compito di identificare i dati sensibili può essere complicato, poiché i dati possono esistere in diversi stati nella vostra infrastruttura:

  • Dati in uso: dati attivi nella RAM, nella memoria cache o nei registri della CPU
  • Dati in movimento: dati che vengono trasmessi tramite una rete, interna o sicura o pubblicamente su Internet
  • Dati a riposo: dati archiviati in un database, su un filesystem o in una sorta di infrastruttura di archiviazione di backup

Le soluzioni DLP aziendali sono strumenti onnicomprensivi che mirano a proteggere i dati in tutti questi stati, mentre le soluzioni DLP integrate potrebbero concentrarsi su uno stato o potrebbero essere integrate in uno strumento a scopo unico separato. Ad esempio, Exchange Server di Microsoft ha funzionalità DLP integrate appositamente per prevenire la perdita di dati via e-mail.

In ogni caso, le soluzioni DLP implementano programmi per cercare tra i dati di loro competenza. Questi programmi utilizzano una varietà di tecniche DLP per riconoscere dati sensibili o meritevoli di protezione. A volte ciò comporta la ricerca di copie dei documenti o dei dati forniti, mentre altre volte comporta la manipolazione del pagliaio dei dati alla ricerca di aghi di informazioni sensibili. Il blog sulla sicurezza in cloud di McAfee illustra alcune di queste tecniche, che includono:

  • Corrispondenza basata su regole o espressioni regolari: gli agenti utilizzano schemi noti per trovare dati che soddisfano regole specifiche, ad esempio i numeri a 16 cifre sono numeri di carte di credito, mentre i numeri a 9 cifre sono generalmente numeri di previdenza sociale. Questo è spesso un primo passaggio per contrassegnare i documenti per successive analisi
  • Impronta digitale del database o corrispondenza esatta dei dati: gli agenti cercano corrispondenze esatte con dati strutturati pre-forniti
    Corrispondenza esatta dei file: gli agenti cercano documenti in base ai loro hash, piuttosto che al loro contenuto
  • Corrispondenza parziale del documento: gli agenti cercano i file che corrispondono parzialmente ai modelli presupposti. Ad esempio, versioni diverse di un modulo compilato da utenti diversi avranno lo stesso “scheletro”, che può essere utilizzato per l’impronta digitale del file
  • Analisi statistica: alcune soluzioni DLP utilizzano il machine learning o l’analisi bayesiana per cercare di identificare i dati sensibili. Avrete bisogno di un grande volume di dati per addestrare il sistema, che potrebbe essere ancora soggetto a falsi positivi e negativi

La maggior parte delle soluzioni DLP consente inoltre di creare combinazioni personalizzate di regole per cercare dati specifici per la vostra azienda.

Cybersecurity leadership Canalys

Una volta che la soluzione DLP ha identificato i dati sensibili, deve sapere come gestirli. Ma questo è più che un problema tecnico. La vostra organizzazione deve infatti impostare una strategia DLP per determinare come devono essere trattati i diversi tipi di dati e quali sono le responsabilità degli utenti interni ed esterni nei confronti di tali dati. Consigliamo di fare particolare attenzione a trovare un equilibrio tra la protezione dei vostri dati e il rendere eccessivamente ingombrante il lavoro dei dipendenti della vostra organizzazione. Digital Guardian ha un’ottima guida per lo sviluppo di una policy DLP organizzativa.

La vostra strategia informerà quindi le policy e le procedure DLP che implementerete con la vostra soluzione DLP. Potete pensare a queste policy e procedure come l’espressione tecnica della strategia che la vostra organizzazione sviluppa. Questo processo ovviamente varia da prodotto a prodotto.

Infine, quando la vostra soluzione identifica un’azione che viola una delle politiche che avete definito, implementerà i controlli di sicurezza DLP con l’obiettivo di prevenire la perdita di dati. Ad esempio, se la vostra soluzione DLP rileva un file sensibile allegato a un’e-mail, potrebbe far apparire un avviso al mittente o impedire che l’e-mail venga inviata del tutto. Se si esfiltrano dati sensibili sulla rete, la soluzione DLP potrebbe inviare un avviso a un amministratore o semplicemente interrompere l’accesso alla rete.

Metriche DLP

Come abbiamo notato sopra, parte del motivo dell’aumentato interesse aziendale nei confronti del DLP è il crescente potere dei CISO e, se c’è una cosa che piace a un CISO, sono numeri concreti che dimostrano le prestazioni di una nuova iniziativa di sicurezza. La sicurezza è notoriamente difficile da quantificare ma CISO Platform offre alcune potenziali metriche che è possibile utilizzare per valutare il successo dell’implementazione DLP:

  • Numero di eccezioni concesse alle policy: troppe potrebbero indicare che avete impostato una policy troppo rigida per i vostri dipendenti per svolgere correttamente il loro lavoro, o che i dipendenti stanno lavorando in modo non sicuro
  • Numero di falsi positivi generati: idealmente, questo numero dovrebbe essere zero, anche se in pratica è difficile da raggiungere. Ma questo numero è un buon indicatore di quanto siano ben strutturate le vostre politiche e procedure e quanto sia buono un lavoro che la vostra soluzione sta facendo nell’analizzare i vostri dati
  • Tempo medio di risposta agli avvisi: questa è una buona indicazione di quanto bene sia integrato il vostro sistema DLP con la vostra posizione di sicurezza complessiva e se il vostro team di sicurezza prende sul serio gli avvisi DLP.
  • Numero di dispositivi non gestiti sulla rete e numero di database e residenti di dati non ancora classificati: se uno di questi numeri è superiore a zero, l’implementazione non è ancora completa. Se alcuni di questi sistemi non catalogati sono stati aggiunti alla vostra rete dopo aver implementato la vostra soluzione DLP, questo è un segno che le vostre procedure non includono l’integrazione con le policy DLP.

Prodotti DLP

Mentre un catalogo completo di software DLP va oltre lo scopo di questo articolo, qui ci sono alcune delle soluzioni più importanti:

  • Check Point: funzionalità DLP integrata in un’architettura gateway più ampia; può controllare il traffico crittografato con TLS tramite gateway di rete
  • Digital Guardian: una piattaforma basata su cloud che include agenti endpoint e dispositivi di rete per il monitoraggio dell’infrastruttura locale
  • McAfee: include le funzionalità di analisi forense dell’azienda
  • Forcepoint: integra controllo e reportistica sulla conformità normativa
  • Symantec: ha moduli DLP separati per cloud, e-mail, web, endpoint e archiviazione, che possono lavorare insieme o come singoli strumenti

Per ulteriori informazioni sulle soluzioni DLP, Gartner offre una guida alla categoria di prodotti, nonché suggerimenti per la creazione di un programma DLP efficace.