Cos'è l'EDM (Exact Data Match)?

Cos'è l'EDM (Exact Data Match)?

L'EDM (Exact Data Match) è un componente fondamentale della prevenzione sulla perdita dei dati (DLP), un approccio alla sicurezza progettato per proteggere le informazioni aziendali e gli altri dati sensibili dall'esposizione. Nel suo Resoconto sull'indagine sulla violazione dei dati del 2019, Verizon ha constatato che circa il 34% delle violazioni ha coinvolto attori interni involontariamente o per uso improprio, motivo per cui la DLP rimane un componente fondamentale della sicurezza aziendale.

In genere, i sistemi DLP utilizzano i criteri di ricerca per identificare i dati che devono essere protetti. I numeri di carta di credito, i numeri di conto, i numeri di previdenza sociale e molti altri sono i tipi di criteri che un sistema DLP monitorerà, a seconda dei tipi di record che l'amministratore ha selezionato per la protezione e delle policy a essi associate.

L'EDM si basa su un approccio diverso. Invece di identificare i dati che devono essere protetti attraverso i criteri di ricerca, l'EDM monitora i dati effettivi che devono essere protetti, aumentando notevolmente la precisione di rilevamento e andando praticamente a eliminare i falsi positivi.

Perché tale precisione è così importante?

Facciamo l'esempio di un numero di carta di credito: il semplice monitoraggio del traffico dei numeri di carta di credito può attivare avvisi ogni volta che qualcuno nell'organizzazione utilizza una carta di credito per un qualsiasi motivo. Pertanto, un dipendente che effettua un acquisto online, durante una pausa, potrebbe non essere in grado di procedere e l'amministratore della sicurezza riceverà un avviso. In questo caso, l'avviso sarebbe un "falso positivo", così chiamato perché il sistema ha rilevato con precisione un tentativo di invio dei dati della carta di credito, ma l'attività non rappresentava alcun rischio per l'organizzazione. Con l'EDM, solo i numeri di carta di credito specifici che un'azienda memorizza nei propri database, ad esempio quelli appartenenti ai propri clienti o partner, attiverebbero degli avvisi. Quel dipendente che effettua un acquisto non innescherebbe un avviso e nemmeno il reparto contabilità al pagamento delle bollette.

Per chiarire, la maggior parte dei falsi positivi sono veri positivi, il che significa che il motore di rilevamento ha svolto il suo lavoro e identificato contenuti che corrispondono a una policy. Tuttavia, il contenuto non rappresenta un rischio per l'azienda nel contesto in cui viene utilizzato. I falsi positivi comportano delle reali conseguenze. Non causano alcun danno diretto, ma bloccano il sistema. Dato che l'amministratore si trova a dover eliminare centinaia di falsi positivi ogni settimana, forse più, avrà meno tempo per indagare sugli avvisi legittimi.

I falsi positivi comportano delle reali conseguenze. Non causano alcun danno diretto, ma bloccano il sistema. Dato che l'amministratore si trova a dover eliminare centinaia di falsi positivi ogni settimana, forse più, avrà meno tempo per indagare sugli avvisi legittimi.

Ogni opportunità di business digitale necessita di una strategia di sicurezza incentrata sui dati, per dare priorità alla mitigazione dei crescenti rischi aziendali derivanti dalle leggi sulla protezione dei dati e sulla privacy, dagli attacchi di hacker, dalle frodi e dai ransomware. – Gartner, luglio 2019
Gartner, luglio 2019

Come funziona l'EDM?

L'EDM crea "impronte digitali" per i dati sensibili provenienti da fonti strutturate, come database o fogli di calcolo, quindi controlla i tentativi di spostare i dati con impronte digitali e ne impedisce la condivisione o il trasferimento inappropriato.

Inizia con un testo normale da un database o foglio di calcolo Excel che contiene i record sensibili. Tali dati in questi record sono offuscati, di solito tramite hashing, per motivi di privacy. Con l'hashing, gli algoritmi vengono applicati ai dati, trasformandoli in stringhe di dati più brevi (hash) e tali hash vengono archiviati all'interno della soluzione DLP. Gli stessi algoritmi vengono quindi applicati a tutto il traffico in uscita. Pertanto, quando il traffico che viene violato corrisponde agli hash memorizzati nella soluzione DLP, il trasferimento verrà bloccato o verrà attivato un avviso.

Oggi, tutte le organizzazioni dovrebbero considerare gli strumenti di prevenzione sulla perdita dei dati come elementi fondamentali per la sicurezza, in quanto la relativa importanza non potrà che aumentare nel prossimo futuro.
SC Labs, 3 marzo 2020

Perché l'EDM distribuito sul cloud è ideale

L'EDM è un'operazione laboriosa in termini di archiviazione e calcolo, che richiede una piattaforma sottostante altamente scalabile, in grado di soddisfare le relative esigenze di elaborazione. Dato che Zscaler Cloud DLP con EDM è basato su un'architettura cloud globale e multitenant, è in grado di rilevare e bloccare i tentativi di invio di dati protetti, indipendentemente da dove l'utente si connette o quali applicazioni vengono utilizzate. Non vi è alcun impatto sulle prestazioni e il portale di amministrazione centralizzato di Zscaler offre visibilità in tempo reale sugli incidenti.

La maggior parte dei sistemi DLP non è in grado di ispezionare il traffico criptato e, conseguentemente, la maggior parte del traffico aziendale non viene ispezionata. Tuttavia, Zscaler Cloud DLP è parte integrante della piattaforma di Cloud Security Zscaler, che ispeziona tutto il traffico, incluso tutto il traffico criptato.

Con Zscaler EDM, è possibile creare impronte digitali e abbinare miliardi di celle dei dati sensibili univoci. Queste impronte digitali verranno archiviate nel cloud Zscaler per offrire la possibilità di bloccare la perdita dei dati a livello globale e su vasta scala. Zscaler aiuta inoltre a massimizzare la protezione dei dati anche nelle procedure di mantenimento della conformità rispetto ai requisiti di settore, come l'HIPAA, e alle normative sulla privacy dei dati, come il GDPR. Sfruttando un ampio set di funzionalità, tra cui EDM, apprendimento automatico, controllo del tipo di file e policy granulari che seguono l'utente, Cloud DLP semplifica la conformità rispetto alle normative regionali.

Un sistema di prevenzione sulla perdita dei dati che dispone dell'EDM, come Zscaler Cloud DLP, aiuterà ad incrementare il livello di sicurezza dell'organizzazione, ridurre la frustrazione degli utenti finali, dovuta al blocco inutile delle transazioni, e a dedicare più tempo a indagare e risolvere gli incidenti effettivi di perdita dei dati, invece di perdersi nel gestire infiniti falsi positivi.

 

Risorse aggiuntive: