Che cos'è la Cloud DLP (prevenzione della perdita dei dati)?

Perché la Cloud DLP è importante?

In passato, quando le informazioni sensibili venivano stampate su carta, prevenire le fughe dei dati poteva essere molto semplice, usando ad esempio uno schedario chiuso a chiave. Ma oggi i dati si muovono tra data center, fornitori di servizi cloud e dispositivi di endpoint, e sono potenzialmente esposti a una miriade di vulnerabilità lungo il percorso. Per proteggerli dagli accessi non autorizzati, è necessario implementare una strategia completa di prevenzione della perdita dei dati (DLP).

Una strategia di DLP dovrebbe riunire i leader aziendali e i responsabili dell'IT per identificare tutti i dati che sono considerati "sensibili" dall'organizzazione, concordarne quindi l'utilizzo e delineare le caratteristiche di una violazione. Queste linee guida per la sicurezza delle informazioni, che includono la classificazione dei dati, le informazioni sulla privacy dei dati e sulla conformità e le procedure di correzione, possono tradursi nella policy di DLP.

Vari standard di conformità (ad esempio GDPR, HIPAA, PCI DSS) potrebbero richiedere alle organizzazioni di implementare la DLP per evitare di incorrere a sanzioni o a restrizioni dell'operatività; tuttavia, le aziende devono inoltre guardarsi dalle violazioni dei dati che possono esporre i dati personali degli utenti finali, con il rischio di perdere clienti, subire danni al marchio o affrontare conseguenze legali. Con una policy di DLP ben definita, affiancata da una tecnologia di supporto ben gestita, è possibile ridurre significativamente tutti questi rischi.

I vantaggi della prevenzione della perdita dei dati sul cloud

La DLP con base cloud offre numerosi vantaggi alle organizzazioni di ogni tipo, fornendo:

• Scalabilità semplificata, per soddisfare le esigenze generate dai volumi di dati in continua crescita e dagli ecosistemi informatici in evoluzione
• Costi infrastrutturali ridotti, grazie all'eliminazione dell'hardware on-premise e delle relative spese per l'aggiornamento e la manutenzione
• Protezione degli utenti e delle filiali ovunque, senza la necessità di effettuare backhauling del traffico al data center
• Distribuzione e configurazione più veloci rispetto alla DLP on-premise, senza dispositivi da gestire
• Aggiornamenti automatici dal cloud, che consentono di sfruttare le informazioni più recenti e le nuove funzionalità senza tempi di inattività

Le tecniche per prevenire la perdita dei dati sul cloud

In poche parole, la tecnologia di DLP, inclusa la DLP con base cloud, identifica i dati sensibili che necessitano di protezione, quindi agisce per proteggerli. Una soluzione di DLP può essere progettata per identificare i dati in uso, i dati in movimento o i dati inattivi (o qualsiasi relativa combinazione) e determinare se tali dati sono sensibili. Per fare ciò, gli agenti di DLP possono utilizzare molte tecniche diverse, come ad esempio:

• Corrispondenza basata su regole o "espressioni regolari": questa tecnica identifica i dati sensibili in base a delle regole predefinite (ad esempio, i numeri a 16 cifre sono spesso indicatori di numeri di carte di credito). A causa dell'elevato tasso di falsi positivi, la corrispondenza basata su regole spesso rappresenta solo il passaggio iniziale prima di un'ispezione più approfondita.
• Corrispondenza esatta dei dati (database fingerprinting, o impronta digitale del database): questa tecnica, nota anche come Exact Data Match, o EDM, identifica i dati che corrispondono esattamente ad altri dati sensibili che sono già stati oggetto di fingerprinting, ossia sono già stati riconosciuti solitamente da un dato database.
• Corrispondenza esatta dei file: questa tecnica funziona in modo analogo all'EDM, ma identifica la corrispondenza degli hash dei file senza analizzare i contenuti.
• Corrispondenza parziale dei documenti: questa tecnica individua i dati sensibili abbinandoli a pattern o modelli stabiliti (ad esempio, il formato di un modulo che viene compilato dai pazienti in una struttura di pronto soccorso).
• Machine learning, analisi statistica ecc.: questa famiglia di tecniche si basa sul fornire un elevato volume di dati a un modello di apprendimento per "addestrarlo" a riconoscere la probabilità che una determinata stringa di dati sia da considerare sensibile. Ciò è particolarmente utile per identificare dati non strutturati.
• Regole personalizzate: molte organizzazioni dispongono di tipologie specifiche di dati da identificare e proteggere, e la maggior parte delle moderne soluzioni di DLP consente di creare regole personalizzate da eseguire insieme alle altre.

Una volta identificati i dati sensibili, spetta alla policy di DLP determinare in che modo vanno protetti. A sua volta, il modo in cui vengono protetti ha molto a che vedere con il motivo per cui si desidera proteggerli.

I principali casi d'uso della Cloud DLP

Come abbiamo spiegato in precedenza, salvaguardare i dati sensibili protegge le organizzazioni da altre perdite molto gravi, quali la perdita di clienti, delle entrate o i danni alla reputazione, e le aiuta a ottemperare alle normative legali e di settore. Proteggere questi dati richiede naturalmente la capacità di comprendere quali sono e dove si trovano, il che costituisce un altro caso d'uso chiave: la visibilità dei dati.

Quindi, in breve, una soluzione DLP viene utilizzata principalmente per:

• Proteggere i dati sensibili in movimento e inattivi: la DLP protegge i dati mentre si spostano o quando vengono archiviati all'interno di più endpoint, reti e cloud, cifrandoli, applicando controlli degli accessi e monitorando le attività sospette.
• Ottemperare alle normative: le policy e le tecnologie di DLP aiutano ad applicare controlli degli accessi, a monitorare l'utilizzo e a condurre audit per essere certi che i dati sensibili vengano gestiti in conformità con le normative, quali GDPR, HIPAA e PCI DSS.
• Ottenere la visibilità sui dati: la DLP fornisce la visibilità sui dati, offrendo dettagli approfonditi su dove risiedono e si spostano le informazioni sensibili, chi può accedervi e come vengono utilizzate, per aiutare a identificare le vulnerabilità, rilevare le attività rischiose e, infine, correggere e bloccare le violazioni dei dati.

I cinque tipi di soluzioni di Cloud DLP

Va detto però che nessuna tecnologia da sola è in grado di rispondere efficacemente a tutti i casi d'uso o di risolvere tutte le cause attraverso cui si può incorrere alla perdita dei i dati; ecco perché oggi le soluzioni più efficaci per la protezione dei dati integrano più funzioni. Diamo un'occhiata ad alcune delle tecnologie di Cloud DLP più diffuse e importanti.

1. I CASB (Cloud Access Security Brokers) sono broker dell'accesso che monitorano e controllano l'attività degli utenti e i trasferimenti dei dati tra endpoint e app cloud, e applicano le policy di sicurezza per prevenire gli accessi non autorizzati, le fughe dei dati e le violazioni della conformità. Un CASB offre la massima visibilità sul comportamento degli utenti, sull'utilizzo delle app e sull'archiviazione dei dati negli ambienti cloud.
2. Un software di DLP protegge le informazioni sensibili dalla fuga dei dati che può avvenire a livello di endpoint, e-mail, servizi cloud e tramite altri canali. Monitorando i dati e applicando le policy in tempo reale, un software di DLP consente di identificare e prevenire le potenziali violazioni.
3. L'analisi del comportamento degli utenti e delle entità (UEBA) monitora, analizza e correla il comportamento degli utenti, i modelli di accesso, gli eventi di sistema e altro ancora, per rilevare anomalie e potenziali minacce, quali le minacce interne dannose, gli account compromessi e il movimento laterale.
4. La gestione del profilo di sicurezza SaaS (SSPM) aiuta le organizzazioni a valutare e gestire le configurazioni di sicurezza, le autorizzazioni e le vulnerabilità tra le diverse app SaaS, per colmare le lacune nella sicurezza e mitigare i rischi associati all'esposizione dei dati e all'accesso non autorizzato.
5. L'isolamento del browser esegue i contenuti web in un ambiente sicuro, impedendo a quelli potenzialmente dannosi (ad esempio download drive-by, malware, phishing) di accedere o di impattare direttamente sull'endpoint, sulla rete o sui dati sensibili dell'utente.

La Cloud DLP e l'importanza della visibilità sui dati

Una soluzione di DLP non può prevenire la perdita dei dati se non è in grado di vedere il traffico. Ciò risulta fondamentale, soprattutto considerando che le organizzazioni continuano a spostare crescenti quantitativi di dati sul cloud, dove vi sono tre sfide critiche che impediscono alle soluzioni di DLP tradizionali, basate sulla rete, di visualizzare il traffico che dovrebbero ispezionare:

• Utenti in remoto: nella DLP basata sulla rete, i livelli di visibilità e protezione dipendono dal luogo in cui si trovano gli utenti. Questi ultimi possono facilmente aggirare l'ispezione se operano fuori dalla rete, collegandosi direttamente alle app cloud. Delle policy di DLP e sicurezza efficaci devono seguire gli utenti indipendentemente da dove si connettono o dal dispositivo che utilizzano.
• Crittografia: l'incredibile crescita del traffico criptato con TLS/SSL ha creato un punto cieco per la DLP basata sulla rete, che non è in grado di decriptarlo e ispezionarlo.
• Limitazioni prestazionali: le soluzioni di DLP basate su dispositivi fisici dispongono di risorse limitate, il che gli impedisce di adattare in modo efficace le prestazioni per ispezionare la crescente quantità di traffico Internet inline.

La Cloud DLP in un mondo incentrato sul cloud e sui dispositivi mobili

Per affrontare le sfide della protezione dei dati che accompagnano la trasformazione digitale e superare le debolezze insite nella DLP aziendale di tipo legacy, sono necessarie una nuova mentalità e una nuova tecnologia. Non basta riconfigurare un intero stack hardware legacy per il cloud, in quanto risulterebbe comunque inefficiente e non disporrebbe del livello di protezione e dei servizi offerti invece da una soluzione di DLP con base cloud, tra cui:

• Protezione identica per tutti gli utenti all'interno e all'esterno della rete, garantendo una protezione completa dei dati a tutti gli utenti, ovunque si trovano: presso la sede centrale, in una filiale, in aeroporto o in un ufficio domestico.
• Ispezione nativa del traffico cifrato con TLS/SSL, offrendo all'organizzazione una visibilità di vitale importanza sul traffico, che gli consente di ispezionare anche i luoghi in cui si cela oltre l'85% degli attacchi odierni.
• Scalabilità elastica per l'ispezione inline, che consente di prevenire la perdita di dati ispezionando tutto il traffico al momento dell'ingresso e mettendo in quarantena i file sospetti o sconosciuti, invece di rimediare ai danno dopo una compromissione.

Exact Data Match per la Cloud DLP

Le soluzioni per la prevenzione della perdita dei dati utilizzano da tempo la corrispondenza dei modelli per identificare i numeri delle carte di credito, i numeri di previdenza sociale e altro ancora. Questa tecnica risulta però imprecisa. Il traffico sicuro può comunque essere bloccato semplicemente perché include un modello preselezionato per la protezione, bombardando i team di sicurezza con una proliferazione di falsi positivi.

L'EDM (Exact Data Match, o corrispondenza esatta dei dati) rappresenta una potente innovazione nella tecnologia di DLP, che incrementa la precisione del rilevamento ed elimina quasi totalmente i falsi positivi. Al contrario della corrispondenza dei modelli, l'EDM crea "fingerprint", ovvero impronte digitali per i dati sensibili, quindi monitora i tentativi di spostare questi dati per impedirne la condivisione o il trasferimento in modo improprio.

Le best practice di Cloud DLP

Una perfetta strategia di DLP dipende dai dati e dalle esigenze di un'organizzazione, e le best practice varieranno di conseguenza, ma questo sarà oggetto di un altro articolo. Qui, esamineremo alcune best practice di DLP ad ampio spettro, che possono essere applicate a qualsiasi situazione:

• Alla distribuzione iniziale, è bene iniziare in modalità di solo monitoraggio, per avere un'idea del flusso di dati all'interno dell'organizzazione e capire quali sono le policy più adeguate.
• Utilizzare le notifiche agli utenti per far sì che i dipendenti siano sempre informati, in modo che le policy non vengano eseguite a loro insaputa, in quanto ciò potrebbe interrompere i flussi di lavoro e generare frustrazione.
• Assicurarsi che gli utenti possano inviare dei feedback in risposta alle notifiche (per giustificare le loro azioni o segnalare policy non funzionanti), da utilizzare per perfezionare le policy aziendali.
• Sfruttare misure di classificazione avanzata come l'EDM per ridurre i falsi positivi.
• Utilizzare una soluzione in grado di decifrare il traffico cifrato con TLS/SSL, in quanto quest'ultimo rappresenta la maggioranza del traffico web.

Muovi i primi passi con Zscaler Cloud Data Loss Prevention

Con l'aumento dei rischi e l'estensione delle normative per la protezione dei dati, le organizzazioni devono colmare le lacune nella sicurezza generate dal cloud e dalla mobilità, siano esse derivanti da vulnerabilità o da errori di configurazione.

In passato, ciò si sarebbe tradotto nell'aggiunta di altri dispositivi a degli stack già di per sé complessi. Oggi è disponibile Zscaler Data Loss Prevention, una soluzione distribuita al 100% sul cloud, parte della suite Zscaler Data Protection. Zscaler DLP consente di colmare le lacune nella protezione dei dati, indipendentemente da dove si trovino gli utenti o le applicazioni, riducendo contemporaneamente i costi e la complessità dell'IT.

Zscaler DLP fornisce:

• Protezione identica agli utenti e ai dati ovunque
• Protezione di Internet, endpoint, e-mail, SaaS, applicazioni private e profilo cloud
• Ispezione TLS/SSL scalabile dal security cloud inline più grande del mondo
• Flussi di lavoro e operazioni più semplici, sfruttando l'innovativo rilevamento dei dati basato sul machine learning