واژه ی DLP که مخفف Data Loss Prevention می باشد، به یکی از راهکارهای امنیت سایبری اشاره داشته و وظیفه آن شناسایی و جلوگیری از دسترسی غیر مجاز به داده هاست. به همین دلیل است که معمولا سازمان ها از این راهکار به عنوان یکی از قوانین و دستورالعمل های امنیتی خود استفاده می کنند.
DLP قابلیت های سودمندی را در اختیار سازمان ها قرار می دهد. کسب و کارها می توانند به کمک این راهکار، عوامل از دست دادن داده ها را شناسایی کرده و مانع از انتقال غیر قانونی داده ها به خارج از سازمان شوند. علاوه بر این برای تامین امنیت داده ها و اطمینان از مطابقت با برخی قوانین مانند California Consumer Privacy Act (CCPA)، EU General Data Protection Regulation (GDPR) و همین طور Health Insurance Portability and Accountability Act (HIPAA) مورد استفاده قرار می گیرد. غالبا دو واژه ” data loss” و ” data leakage prevention ” به جای هم مورد استفاده قرار می گیرند، اما امنیت ارائه شده از سوی DLP به سازمان ها امکان دفاع در برابر هر دو مورد، را می دهد. سایر مزایایی که DLP برای سازمان ها دارد، عبارتند از:
شناسایی داده های مهم در سیستم های مبتنی بر فضای ابری و فیزیکی
جلوگیری از به اشتراک گذاری تصادفی داده ها
نظارت بر داده ها و محافظت از آن ها
آموزشِ رعایت مقررات به کاربران
به طور کلی دسترسی غیر مجاز به داده ها، با وجود راهکارهای امنیتی که برای آن ها در نظر گرفته می شود، با دیجیتالی شدن دنیای امروزه، سرعت گرفته است. تنها در نیمه اول سال 2019 تعداد نقض داده ها به 3800 رسیده است. طبیعتا DLP را می توان یک ابزار مهم و حیاتی برای هر سازمانی در نظر گرفت.
به طور کلی PII به اطلاعاتی اشاره دارد که برای تشخیص هویت افراد به کار گرفته می شود. DLP یا Data loss Prevention یکی از راهکارهای امنیتی است که مانع از انتشار تعمدی و یا تصادفی داده ها می گردد. به همین دلیل است که سازمان ها از آن برای تامین امنیت داخلی و رعایت مقررات استفاده می کنند.
همان طور که پیشتر نیز گفته شد PII برای تشخیص هویت افراد استفاده می شود که می تواند شامل آدرس ایمیل، آدرس IP، اطلاعات ورود به سیستم، پست های شبکه های اجتماعی، اطلاعات بیومتریک و همین طور موقعیت جغرافیایی باشد. برای محافظت از PII، مقررات سختگیرانه ای وضع شده است، مانند GDPR. این قوانین، حقوق بالایی برای افراد قائل شده و در صورت عدم رعایت توسط سازمان های مختلف و بروز نقض اطلاعات، جرایم سنگینی بر آن ها اعمال خواهد شد.
مضاف بر این، امنیت تامین شده توسط DLP، به سازمان ها امکان می دهد اطلاعات را طبقه بندی نموده و آن ها را برچسب گذاری کنند و همچنین بتوانند بر فعالیت ها، نظارت و کنترل داشته باشند.
قوانین HIPAA، الزامات امنیتی گسترده ای را برای تمامی مشاغلی که به ذخیره سازی و محافظت از اطلاعات پزشکی مشغول هستند، تعریف می کند. آنچه که برای سازمان ها در نظر گرفته می شود، شامل دستورالعمل ها، پالیسی ها و روش های حفظ حریم خصوصی است. در ضمن جرائم و مجازات های کیفری و مدنی نیز در مقابل عدم رعایت محافظت از داده ها مشخص شده است.
لازم به ذکر است DLP نیز مانند GDPR برای سازمان هایی که می بایست تابع قوانین HIPAA باشند، ضروری است. به آن ها امکان می دهد اطلاعاتی که تحت پوشش قوانین می باشند را شناسایی، طبقه بندی و برچسب گذاری نمایند و و همچنین از محافظت کاربران، اطمینان حاصل کنند.
سیستم های DLP از طریق شناساییِ اطلاعات مهم و حیاتی سازمان ها، از آن ها محافظت نموده و سپس با استفاده از تجزیه و تحلیل محتوا، عوامل دسترسی غیر مجاز را شناسایی نموده و مانع از نقض داده ها می گردند. لازم به ذکر است تجزیه و تحلیل محتوا از روش هایی مانند keyword matches، regular expressions و internal function استفاده می کند تا بر اساس پالیسی تعریف شده ی سازمان، محتوا را شناسایی کند. در نتیجه کسب و کارها قادر خواهند بود به صورت خودکار مانع از دسترسی های غیر مجاز به اطلاعات شوند. پس از انتخاب راهکار DLP هر سازمان باید مراحل زیر را طی کند.
اولین گام در استفاده از DLP، مشخص کردن داده های مهم و حیاتی و ایجاد یک پالیسی DLP است که می تواند جزییات کارت اعتباری، آدرس ایمیل و یا امثال آن باشد.
یک پالیسی DLP شامل موارد ذیل است:
سیستم هایی که باید داده هایشان محافظت گردند.
زمان و نحوه ی محافظت از داده ها
مشخص کردن ruleهایی برای تعریف داده های مهم و تعیین واکنشی که در مقابل تهدیدات امنیتی قرار است صورت گیرد.
شرایطی که عکس العمل های مختلف را به سطوح مختلف تهدیدات اختصاص می دهد.
مسلما تنها در اختیار داشتن راهکار DLP برای مقابله با تهدیدات سایبری کافی نیست. سازمان ها می بایست بر روی عملکرد کابران نظارت داشته و از داده های غیر فعال (data at rest)، در حال استفاده (data in use) و داده های در حال انتقال (data in motion) محافظت کنند.
• Data in motion: به data in transit هم معروف بوده و به داده هایی اشاره دارد که از یک لوکیشن به لوکیشن دیگر و یا از طریق اینترنت، بین شبکه ها، از یک تجهیز ذخیره سازی به فضای ابری و یا از طریق شبکه های خصوصی در حال انتقال است. قطعا این دسته از داده ها، از امنیت کمتری برخوردارند، بنابراین بهره مندی از اقدامات امنیتی، یک ضرورت است.
• Data in use: داده های در حال استفاده، داده هایی هستند که هم اکنون در دسترس بوده و پردازش، آپدیت و خوانده می شوند. و شامل اطلاعاتی هستند که در پایگاه داده ها، CPU و یا RAM ذخیره می گردند؛ مانند درخواست کاربران برای دسترسی به سابقه تراکنش در حساب بانکی آنلاین خود.
• Data in rest: به اطلاعاتی گفته می شود که بین دستگاه ها و یا شبکه ها، منتقل نمی شود؛ بلکه در یک دستگاه و یا یک هارد درایو ذخیره می شود. این دسته از داده ها از امنیت بالاتری در مقایسه با data in motion برخوردارند؛ اما می توانند یک هدف آماده و ارزشمند برای هکرها باشند.
معرفی فایروال فورتی گیت 100F
سیستم DLP از چندین روش مختلف برای شناسایی داده های مهم استفاده می کند، اما رایج ترینِ آن ها به کارگیری الگوی منظم است. این روش اقدام به تجزیه و تحلیل محتوا بر اساس الگوهای رایج مانند شماره 16 رقمی کارت های اعتباری در کنار شاخص هایی مانند تقریب بودن کلمات کلیدی می نماید.
به عنوان مثال یک ویزا کارت دارای 16 رقم است، اما تمام اعداد 16 رقمی، مربوط به کارت های اعتباری نمی باشند. بنابراین DLP، یک سری محاسبات انجام می دهد تا تعیین کند آیا اعداد با الگوی خاصی، مطابقت دارند یا خیر.
ضمن اینکه به دنبال کلمات کلیدی مانند VISA یا AMEX در نزدیکی تاریخی که ممکن است تاریخ انقضا باشد می گردد تا مشخص کند که آیا اطلاعات مهم در معرض خطر هستند یا خیر.
وقتی تخلفی صورت می گیرد، DLP با “ارسال هشدار”، “رمزنگاری داده ها” و “اقدامات دیگری که مانع از به اشتراک گذاری داده ها توسط کاربران می گردد”، اقدام به اصلاح آن می نماید. در ضمن گزارشی ارائه می دهد که به مشاغل امکان می دهد مقررات وضع شده و الزامات ممیزی را رعایت نموده و نقاط ضعف موجود را شناسایی کنند.
راهکارهایی مانند security information and event management (SIEM) و intrusion prevention system (IPS) نیز، قابلیت های مشابهی ارائه می دهند تا به سازمان ها کمک کنند فعالیت های مشکوک را شناسایی نموده و تیم های IT را از نقض اطلاعات بالقوه مطلع سازند.
