DLP là gì và nó hoạt động như thế nào

DLP là gì và nó hoạt động như thế nào?

March 16, 2023 | vietsunshine

DLP là gì?

Ngăn ngừa mất dữ liệu (DLP), theo Gartner, có thể được định nghĩa là các công nghệ thực hiện cả kiểm tra nội dung và phân tích dữ liệu theo ngữ cảnh được gửi qua các ứng dụng nhắn tin như email và nhắn tin tức thời, chuyển động qua mạng, được sử dụng trên thiết bị đầu cuối được quản lý, và ở phần còn lại trong các máy chủ tệp tại chỗ hoặc trong các ứng dụng đám mây và lưu trữ đám mây. Các giải pháp này thực hiện các phản hồi dựa trên chính sách và quy tắc được xác định để giải quyết nguy cơ rò rỉ cố ý hoặc vô tình hoặc lộ dữ liệu nhạy cảm ra bên ngoài. 

Các công nghệ DLP được chia thành hai loại – DLP doanh nghiệp (Enterprise DLP) và DLP tích hợp (Integrated DLP). Mặc dù các giải pháp Enterprise DLP là toàn diện và được đóng gói trong phần mềm đại lý dành cho máy tính để bàn và máy chủ, thiết bị vật lý và ảo để giám sát mạng và lưu lượng email hoặc thiết bị mềm để khám phá dữ liệu, DLP tích hợp được giới hạn ở các cổng web bảo mật (SWG), cổng email bảo mật (SEG), sản phẩm mã hóa email, nền tảng quản lý nội dung doanh nghiệp (ECM), công cụ phân loại dữ liệu, công cụ khám phá dữ liệu và CASB.

DLP hoạt động như thế nào?

Hiểu được sự khác biệt giữa nhận thức nội dung và phân tích ngữ cảnh là điều cần thiết để hiểu toàn bộ bất kỳ giải pháp DLP nào. Một cách hữu ích để nghĩ về sự khác biệt là nếu nội dung là một bức thư, ngữ cảnh là phong bì. Mặc dù nhận thức về nội dung liên quan đến việc chụp phong bì và nhìn vào bên trong nó để phân tích nội dung, ngữ cảnh bao gồm các yếu tố bên ngoài như tiêu đề, kích thước, định dạng, v.v., bất kỳ thứ gì không bao gồm nội dung của bức thư. Ý tưởng đằng sau nhận thức về nội dung là mặc dù chúng tôi muốn sử dụng ngữ cảnh để hiểu thêm về nội dung, nhưng chúng tôi không muốn bị giới hạn trong một ngữ cảnh duy nhất.

Sau khi phong bì được mở và nội dung được xử lý, có nhiều kỹ thuật phân tích nội dung có thể được sử dụng để phát hiện các vi phạm chính sách, bao gồm:

  • Rule-Based/Regular Expressions: Kỹ thuật phân tích phổ biến nhất được sử dụng trong DLP liên quan đến một công cụ phân tích nội dung cho các quy tắc cụ thể, chẳng hạn như số thẻ tín dụng gồm 16 chữ số, số an sinh xã hội gồm 9 chữ số của Hoa Kỳ, v.v. Kỹ thuật này là một bộ lọc vượt qua đầu tiên tuyệt vời vì các quy tắc có thể được định cấu hình và xử lý nhanh chóng, mặc dù chúng có thể có tỷ lệ dương tính giả cao nếu không có xác thực tổng kiểm tra để xác định các mẫu hợp lệ.
  • Database Fingerprinting: Còn được gọi là Đối sánh dữ liệu chính xác (Exact Data Matching), cơ chế này xem xét các đối sánh chính xác từ kết xuất cơ sở dữ liệu hoặc cơ sở dữ liệu trực tiếp. Mặc dù kết xuất cơ sở dữ liệu hoặc kết nối cơ sở dữ liệu trực tiếp ảnh hưởng đến hiệu suất, đây là một tùy chọn cho dữ liệu có cấu trúc từ cơ sở dữ liệu.
  • Exact File Matching: Nội dung tệp không được phân tích; tuy nhiên, giá trị băm (hashes) của tệp khớp với fingerprints chính xác. Cung cấp thông tin xác thực sai thấp mặc dù phương pháp này không hoạt động đối với các tệp có nhiều phiên bản tương tự nhưng không giống nhau.
  • Partial Document Matching:Tìm kiếm sự trùng khớp hoàn toàn hoặc một phần trên các tệp cụ thể, chẳng hạn như nhiều phiên bản của một biểu mẫu đã được điền bởi những người dùng khác nhau.
  • Conceptual/Lexicon: Sử dụng kết hợp từ điển, quy tắc, v.v., các chính sách này có thể cảnh báo về những ý tưởng hoàn toàn phi cấu trúc thách thức sự phân loại đơn giản. Nó cần được tùy chỉnh cho giải pháp DLP được cung cấp.
  • Statistical Analysis: Sử dụng công nghệ máy học hoặc các phương pháp thống kê khác như phân tích Bayes để kích hoạt các vi phạm chính sách trong nội dung bảo mật. Yêu cầu khối lượng dữ liệu lớn để quét, càng lớn càng tốt, nếu không sẽ dễ xảy ra dương tính và âm tính giả.
  • Pre-built categories: Các danh mục được tạo sẵn với các quy tắc và từ điển cho các loại dữ liệu nhạy cảm phổ biến, chẳng hạn như số thẻ tín dụng/PCI protection, HIPAA, v.v.

Có vô số kỹ thuật trên thị trường hiện nay cung cấp các loại kiểm tra nội dung khác nhau. Một điều cần xem xét là trong khi nhiều nhà cung cấp DLP đã phát triển công cụ nội dung của riêng họ, một số sử dụng công nghệ của bên thứ ba không được thiết kế cho DLP. Ví dụ: thay vì xây dựng khớp mẫu cho số thẻ tín dụng, nhà cung cấp DLP có thể cấp phép công nghệ từ nhà cung cấp công cụ tìm kiếm để khớp mẫu cho số thẻ tín dụng. Khi đánh giá các giải pháp DLP, hãy chú ý đến các loại mẫu được phát hiện bởi từng giải pháp dựa trên kho dữ liệu nhạy cảm thực để xác nhận tính chính xác của công cụ nội dung của nó.

Các phương pháp DLP hay nhất để tăng cường bảo mật dữ liệu

Các phương pháp hay nhất trong DLP kết hợp công nghệ, kiểm soát quy trình, nhân viên am hiểu và nhận thức của nhân viên. Dưới đây là các hướng dẫn được đề xuất để phát triển một chương trình DLP hiệu quả:

1. Triển khai một chương trình DLP tập trung duy nhất. Nhiều tổ chức triển khai các phương pháp và công nghệ DLP không nhất quán, đặc biệt khi màcác phòng ban và đơn vị kinh doanh khác nhau triển khai. Sự không nhất quán này dẫn đến việc thiếu khả năng hiển thị nội dung dữ liệu và bảo mật dữ liệu yếu. Ngoài ra, nhân viên có xu hướng bỏ qua các chương trình DLP của bộ phận.

2. Đánh giá nguồn lực bên trong. Để tạo và thực hiện kế hoạch DLP, các tổ chức cần nhân sự có chuyên môn về DLP, bao gồm phân tích rủi ro DLP, phản hồi và báo cáo vi phạm dữ liệu, luật bảo vệ dữ liệu cũng như đào tạo và nhận thức về DLP. Một số quy định của chính phủ yêu cầu các tổ chức phải thuê nhân viên nội bộ hoặc thuê chuyên gia tư vấn bên ngoài có kiến thức bảo vệ dữ liệu. Chẳng hạn, GDPR bao gồm các điều khoản ảnh hưởng đến các tổ chức bán hàng hóa hoặc dịch vụ cho người tiêu dùng thuộc Liên minh Châu Âu (EU) hoặc giám sát hành vi của họ. GDPR yêu cầu một nhân viên bảo vệ dữ liệu (DPO) hoặc nhân viên có thể đảm nhận các trách nhiệm của DPO, bao gồm tiến hành kiểm toán tuân thủ, giám sát hiệu suất DLP, giáo dục nhân viên về các yêu cầu tuân thủ và đóng vai trò là người liên lạc giữa tổ chức và cơ quan tuân thủ.

3. Thực hiện kiểm kê và đánh giá. Việc đánh giá các loại dữ liệu và giá trị của chúng đối với tổ chức là một bước quan trọng ban đầu trong việc triển khai chương trình DLP. Điều này liên quan đến việc xác định dữ liệu có liên quan, nơi dữ liệu được lưu trữ và liệu đó có phải là dữ liệu nhạy cảm hay không—sở hữu trí tuệ, thông tin bí mật hoặc dữ liệu mà các quy định giải quyết. Một số sản phẩm DLP có thể nhanh chóng xác định nội dung thông tin bằng cách quét siêu dữ liệu của tệp (metadata) và lập danh mục kết quả hoặc nếu cần, mở tệp để phân tích nội dung. Bước tiếp theo là đánh giá rủi ro liên quan đến từng loại dữ liệu, nếu dữ liệu bị rò rỉ. Các cân nhắc bổ sung bao gồm các điểm thoát dữ liệu và chi phí có thể xảy ra đối với tổ chức nếu dữ liệu bị mất. Việc mất thông tin về các chương trình phúc lợi của nhân viên có mức độ rủi ro khác với việc mất 1.000 hồ sơ y tế của bệnh nhân hoặc 100.000 số tài khoản ngân hàng và mật khẩu.

4. Triển khai theo từng giai đoạn. DLP là một quá trình dài hạn được thực hiện tốt nhất theo từng giai đoạn. Cách tiếp cận hiệu quả nhất là ưu tiên các loại dữ liệu và các kênh liên lạc. Tương tự như vậy, hãy xem xét việc triển khai các thành phần hoặc mô-đun phần mềm DLP khi cần, dựa trên các ưu tiên của tổ chức, thay vì tất cả cùng một lúc. Việc phân tích rủi ro và kiểm kê dữ liệu hỗ trợ thiết lập các ưu tiên này.

5. Tạo một hệ thống phân loại. Trước khi một tổ chức có thể tạo và thực thi các chính sách DLP, tổ chức đó cần có khung phân loại dữ liệu hoặc phân loại cho cả dữ liệu phi cấu trúc và dữ liệu có cấu trúc. Các danh mục bảo mật dữ liệu có thể bao gồm thông tin bí mật, nội bộ, công khai, thông tin nhận dạng cá nhân (PII), dữ liệu tài chính, dữ liệu được quản lý, sở hữu trí tuệ và những thông tin khác. Các sản phẩm DLP (Phòng chống mất dữ liệu) có thể quét dữ liệu bằng cách sử dụng một bảng phân loại được cấu hình trước, mà sau này tổ chức có thể tùy chỉnh, giúp nhận dạng các loại dữ liệu chính. Trong khi phần mềm DLP tự động và tăng tốc quá trình phân loại, con người vẫn chọn và tùy chỉnh các danh mục. Chủ sở hữu nội dung cũng có thể đánh giá trực quan một số loại nội dung không thể xác định bằng các từ khóa hay cụm từ đơn giản.

6. Thiết lập chính sách xử lý và khắc phục dữ liệu. Sau khi tạo khung phân loại, bước tiếp theo là tạo (hoặc cập nhật) các chính sách để xử lý các loại dữ liệu khác nhau. Các yêu cầu của chính phủ chỉ định các chính sách DLP để xử lý dữ liệu nhạy cảm. Các giải pháp DLP thường áp dụng các quy tắc hoặc chính sách được cấu hình trước dựa trên các quy định khác nhau, chẳng hạn như HIPAA hoặc GDPR. Nhân viên DLP sau đó có thể tùy chỉnh các chính sách cho phù hợp với nhu cầu của tổ chức. Để quản lý các chính sách, các sản phẩm thực thi DLP ngăn chặn và giám sát các kênh gửi đi (như email và trò chuyện web) và cung cấp các tùy chọn để xử lý các sự cố an ninh tiềm năng. Ví dụ, một nhân viên chuẩn bị gửi email với tệp đính kèm nhạy cảm có thể nhận được một cửa sổ pop-up đề xuất mã hóa tin nhắn hoặc hệ thống có thể chặn hoàn toàn hoặc chuyển hướng nó cho một quản lý. Phản hồi được dựa trên các quy tắc mà tổ chức thiết lập.

Giáo dục nhân viên – Nhận thức và chấp nhận của nhân viên về chính sách và thủ tục an ninh là rất quan trọng đối với DLP. Những nỗ lực giáo dục và đào tạo như các lớp học, đào tạo trực tuyến, email định kỳ, video và bài viết có thể cải thiện sự hiểu biết của nhân viên về tầm quan trọng của bảo mật dữ liệu và nâng cao khả năng tuân thủ các quy tắc và thực tiễn tốt nhất của DLP. Việc áp đặt các hình phạt đối với việc vi phạm bảo mật dữ liệu cũng có thể nâng cao tính tuân thủ, đặc biệt nếu chúng được định nghĩa rõ ràng. Viện SANS cung cấp nhiều tài nguyên đào tạo và nâng cao nhận thức về bảo mật dữ liệu.

Nguồn: What Is DLP and How Does It Work?

Tags: , ,