Che cos'è la tecnologia DLP?

Che cos'è il DLP?

La prevenzione della perdita di dati (Data Loss Prevention, o DLP) è un insieme di tecnologie e processi che hanno l'obiettivo di monitorare e ispezionare i dati su una rete aziendale e prevenire l'esfiltrazione dei dati critici a seguito di attacchi informatici, come phishing o minacce provenienti dagli operatori interni.

La nostra era digitale produce volumi di dati senza precedenti, come dati personali di clienti e dipendenti, informazioni sanitarie protette e dati finanziari, come numeri delle carte di credito e proprietà intellettuale. Questi dati sono fondamentali per le aziende, e queste ultime hanno la responsabilità di implementare solide strategie di sicurezza per tutelarli.

In un'altra epoca, queste informazioni sensibili venivano stampate su carta e conservate in uno schedario chiuso a chiave. Ora, questi dati passano dal data center, a un provider di archiviazione cloud, al dispositivo endpoint degli utenti, e sono più vulnerabili che mai. Per proteggerli, le aziende devono implementare strategie complete di prevenzione della perdita di dati (DLP).

Uno strumento di DLP dovrebbe sempre far parte di una strategia complessiva per l'intera organizzazione, e dovrebbe essere il risultato del lavoro congiunto dei leader dell'azienda, che hanno il compito di definire quali sono i dati sensibili, come vanno utilizzati e cosa costituisce una violazione. Queste linee guida sulla sicurezza delle informazioni, come la classificazione dei dati, la privacy e le informazioni su conformità e procedure di correzione, possono quindi essere tradotte in policy di DLP.

Sebbene molte organizzazioni siano incentivate a implementare una strategia di DLP per conformarsi alle normative (come GDPR, HIPAA e PCI DSS), per evitare sanzioni o persino la limitazione delle loro operazioni aziendali, è necessario tenere in considerazione che una potenziale violazione dei dati può comportare anche l'esposizione dei dati personali degli utenti finali, e sottoporre quindi l'azienda al rischio di perdere clienti, di danneggiare il marchio o addirittura di dover affrontare conseguenze legali. Con una policy DLP ben definita e sostenuta da una tecnologia ben gestita, le aziende possono ridurre significativamente questi rischi.

 

Come funziona la DLP?

Essenzialmente, la tecnologia di DLP identifica i dati sensibili che necessitano di protezione e ne garantisce la sicurezza. I dati possono essere in uso, in movimento o inattivi, e una soluzione di DLP può essere progettata per identificare i dati che sono in una o in tutte queste modalità. Per contrassegnare i dati come sensibili, i programmi degli agenti di DLP possono utilizzare diverse tecniche, come:

  • Corrispondenza basata su regole o "espressioni regolari": questa tecnica comune identifica i dati sensibili in base a regole prestabilite (ad esempio, i numeri a 16 cifre sono spesso numeri di carte di credito). A causa dell'elevato tasso di falsi positivi, la corrispondenza basata su regole costituisce spesso solo un passaggio iniziale, che avviene prima di un'ispezione più avanzata.
  • Corrispondenza esatta dei dati (impronta digitale del database): questa tecnica identifica i dati che corrispondono esattamente ad altri dati sensibili per cui l'agente ha creato delle impronte digitali, di solito da un database fornito.
  • Corrispondenza esatta dei file: questa tecnica funziona in modo analogo alla corrispondenza esatta, ma identifica la corrispondenza degli hash dei file, senza analizzare i contenuti.
  • Corrispondenza parziale dei documenti: questa tecnica individua i dati sensibili abbinandoli a schemi o modelli definiti (ad esempio, il formato di un modulo compilato dai paziente in una struttura di pronto soccorso).
  • Machine learning, analisi statistica ecc.: questa famiglia di tecniche "istruisce" un modello di apprendimento con un volume elevato di dati affinché riconosca la probabilità che una determinata stringa costituisca o meno un dato sensibile. Queste tecniche sono particolarmente utili per identificare i dati non strutturati.
  • Regole personalizzate: molte organizzazioni dispongono di tipologie specifiche di dati da identificare e proteggere, e la maggior parte delle soluzioni moderne di DLP consente di creare regole personalizzate da eseguire insieme alle altre.

Una volta identificati i dati sensibili, spetta alla policy di DLP dell'organizzazione determinarne la protezione. Il modo in cui i dati vengono protetti è strettamente legato al motivo per cui vengono protetti.

 

I principali casi d'uso della DLP

Il principale caso d'uso della DLP è evidente e consiste nel prevenire la perdita dei dati, che può essere accidentale o intenzionale (nell'ultimo caso, l'origine è quindi un'azione malevola). Esistono poi vari tipi di dati, come la proprietà intellettuale (Intellectual property, o IP) e i dati regolamentati/personali (che includono dati personali di dipendenti e clienti, informazioni sanitarie, numeri di carta di credito e di previdenza sociale, e così via). Come abbiamo già illustrato, la sicurezza di questi dati protegge l'organizzazione da vari danni, come la perdita di clienti, di fatturato e di reputazione, e l'aiuta a essere conforme alle normative di settore e legali. Infine, la protezione richiede naturalmente la visibilità, ovvero la capacità di capire quali sono questi dati e dove si trovano.

Quindi, in breve, una soluzione DLP viene utilizzata principalmente per:

  • Proteggere la proprietà intellettuale e i dati sensibili/regolamentati
  • Preservare la conformità alle normative
  • Ottenere la visibilità sui dati

 

DLP integrata e DLP aziendale

Le attuali soluzioni di DLP hanno raggiunto un livello di sviluppo avanzato. Tuttavia, poiché nel mercato non si è verificata una grande differenziazione tra soluzioni aziendali, la società di analisi Gartner ha eliminato la categoria della DLP aziendale dal Magic Quadrant. Al contrario, Gartner si sta concentrando su una guida di mercato che evidenzi l'importanza di una strategia olistica di protezione dei dati e istruisca i lettori sull'uso di soluzioni di DLP integrate. Nel 2017, l'azienda ha previsto che entro il 2021 il 90% delle organizzazioni utilizzerà una qualche forma di DLP integrata. 

Le soluzioni di DLP aziendali tradizionali, in genere, fornivano vari prodotti e funzioni sui canali di archiviazione e di passaggio dei dati (come endpoint, strumenti di archiviazione, punti di scambio), dove potevano verificarsi delle perdite. Tutti questi elementi, però, richiedono set diversi di strumenti o tecniche per prevenire efficacemente tali perdite.

La trasformazione digitale, tuttavia, ha cambiato il comportamento degli utenti e i modelli di traffico, e ha reso più importante la necessità di proteggere i dati che fluiscono tra endpoint, app cloud e luoghi di archiviazione con una soluzione di DLP per i dati in movimento e la rete. Quando questa protezione viene fornita in modo nativo da tecnologie come Secure Web Gateway, gestione dei contenuti o CASB (Cloud Access Security Broker), allora si parla di DLP integrata.

Le soluzioni di DPL aziendali sono note per essere complesse e costose. Le organizzazioni che acquistano una soluzione di DLP aziendale spesso utilizzano solo un sottoinsieme delle sue funzionalità e affrontano unicamente casi d'uso di base che una DLP integrata potrebbe affrontare in modo più rapido ed economico.

Il DLP non può impedire la perdita di dati se non può vedere il traffico

Dato che le aziende ora lavorano sul cloud, sono tre i fattori che hanno impedito alle soluzioni di DLP di rete di riuscire a vedere il traffico che dovrebbero ispezionare:

  • Utenti in remoto: con la DLP di rete, i livelli di visibilità e protezione dipendono da dove si trovano gli utenti, i quali possono facilmente bypassare i controlli quando sono al di fuori della rete e si connettono direttamente alle applicazioni cloud. Per essere efficaci, le policy di DLP e di sicurezza devono seguire gli utenti, indipendentemente da dove si connettano e da quale dispositivo mobile stiano utilizzando.
  • Crittografia: l'incredibile crescita del traffico criptato con TLS/SSL ha creato un punto cieco per la DLP basata sulla rete, che non è in grado di decriptarlo e ispezionarlo.
  • Limitazioni prestazionali: i tradizionali apparecchi di DLP di rete sono dotati di risorse limitate e non sono in grado di garantire scalabilità per ispezionare il volume in costante aumento del traffico Internet inline.

 

La DLP in un mondo cloud e mobile richiede un nuovo approccio e una tecnologia moderna

Per affrontare le sfide che accompagnano la trasformazione digitale e superare i punti deboli della DLP aziendale tradizionale non è sufficiente riconfigurare uno stack hardware e adattarlo al cloud. Questa operazione sarebbe inefficiente e non permetterebbe di ottenere le funzionalità e i servizi di una soluzione costruita appositamente per il cloud. Qualsiasi soluzione di DLP con base cloud deve fornire tre elementi:

  • Protezione identica all'interno e all'esterno della rete, per garantire una protezione completa a tutti gli utenti, ovunque si trovino: presso le sedi centrali, le filiali, gli aeroporti o gli uffici domestici.
  • Ispezione nativa del traffico criptato con TLS/SSL, per offrire all'azienda visibilità su oltre l'80% di quello che costituisce il traffico Internet di oggi, che potrebbe nascondere delle minacce.
  • Scalabilità elastica per l'ispezione inline, che consente di prevenire la perdita di dati ispezionando tutto il traffico al momento dell'ingresso e mettendo in quarantena i file sospetti o sconosciuti, invece di rimediare ai danno dopo una compromissione.

 

Nel suo rapporto del 2021 sul costo delle violazioni dei dati, il Ponemon Institute ha riscontrato che le violazioni dei dati nell'ultimo anno sono costate in media 9,05 milioni di dollari negli Stati Uniti e 4,24 milioni di dollari in tutto il mondo; il 38% di queste violazioni ha comportato una perdita di fatturato.

Lo studio ha inoltre rivelato che le organizzazioni con un approccio zero trust consolidato hanno risparmiato in media 1,76 milioni di dollari per violazione rispetto alle altre.

Ottenere una sicurezza cloud completa grazie a Zscaler Data Protection

Ricevi l'analisi della soluzione di SANS

Che succede con il DLP Magic Quadrant di Gartner?

Leggi il nostro articolo di blog
icona blog che cos'è il dlp

La perdita di dati non regolati è più costosa di quanto si immagini

Leggi l'articolo sul blog
icona blog che cos'è il dlp

Prevenzione sulla perdita dei dati e trasformazione digitale

Leggi il nostro white paper
white paper che cos'è il dlp

Tutelare i dati in un mondo in cui si lavora da qualsiasi luogo

Scarica il nostro e-book
white paper che cos'è il dlp

Temi in materia di protezione dei dati: la DLP in un mondo in cui si lavora da qualsiasi luogo

Guarda il nostro video
white paper che cos'è il dlp

Exact Data Match per la DLP 

Le soluzioni per la prevenzione della perdita di dati utilizzano da tempo la corrispondenza dei modelli per identificare i numeri delle carte di credito, i numeri di previdenza sociale e altri tipi di informazioni e garantirne la protezione. Il problema di questo approccio è che è impreciso. Il traffico sicuro viene spesso bloccato semplicemente perché include uno di questi modelli, e i team di sicurezza si ritrovano a dover gestire moltissimi falsi positivi.

L'Exact Data Match (EDM) rappresenta una potente innovazione nella tecnologia di DLP, che aumenta la precisione del rilevamento ed elimina quasi totalmente i falsi positivi. Al contrario della corrispondenza dei modelli, l'EDM crea fingerprint, ovvero impronte digitali, per i dati sensibili, quindi monitora i tentativi di spostare questi dati per impedirne la condivisione o il trasferimento in modo improprio.
 

Strategie da seguire per una DLP di successo

L'ottimizzazione della DLP dipende dalle esigenze specifiche dell'azienda, ma vi sono alcune strategie applicabili in ogni situazione. Questo argomento verrà illustrato più dettagliatamente in un altro articolo, ma ecco alcune delle strategie principali:

  • Al momento della distribuzione iniziale, iniziare in modalità di solo monitoraggio, per avere un'idea del flusso di dati e creare di conseguenza delle policy adeguate.
  • Utilizzare le notifiche agli utenti per tenere aggiornati i dipendenti e assicurarsi che le policy non vengano eseguite a loro insaputa, in quanto ciò potrebbe interrompere i flussi di lavoro e generare frustrazione.
  • Utilizzare una soluzione che permetta agli utenti di inviare feedback sulle notifiche (per giustificare le loro azioni o segnalare le policy non funzionanti), che può essere utilizzato per perfezionare le policy.
  • Sfruttare misure di classificazione avanzate, come l'EDM, per ridurre i falsi positivi.
  • Utilizzare unicamente una soluzione in grado di decriptare il traffico criptato con TLS/SSL, dato che oggi la maggior parte del traffico web è criptata.
     

Da dove iniziare nelle imprese per prevenire la perdita dei dati

Con l'aumento dei rischi e l'incremento delle normative per la protezione dati, l'azienda si trova a dover colmare le lacune di sicurezza causate dal cloud e dalla mobilità. Non si tratta di una novità: secondo uno studio del 2019 condotto da Cybersecurity Insiders, la prevenzione della perdita di dati è la seconda priorità più importante per i dirigenti IT.

In passato, questo si traduceva nell'aggiunta di appliance a stack già molto complessi. Oggi, la risposta è Cloud DLP. Con una soluzione come Zscaler Cloud Data Loss Prevention (DLP), parte di una piattaforma SASE (Secure Access Service Edge) più ampia, è possibile colmare le lacune nella protezione dati, indipendentemente da dove si connettano gli utenti o da dove siano ospitate le applicazioni, riducendo al contempo i costi e la complessità dell'IT.

 

Risorse aggiuntive