-
06/07/2013
-
797
-
1.308 bài viết
Tìm hiểu về DLP (Data Loss Prevention)
DLP (Data Loss Prevention) là hoạt động phát hiện và ngăn chặn vi phạm dữ liệu, xâm nhập hoặc phá hủy dữ liệu nhạy cảm không mong muốn. Các tổ chức sử dụng DLP để bảo vệ và bảo mật dữ liệu của họ và tuân thủ các quy định như HIPAA, PCI-DSS hoặc GDPR.
Thuật ngữ DLP đề cập đến việc bảo vệ các tổ chức chống lại mất mát dữ liệu và ngăn chặn rò rỉ dữ liệu. Mất dữ liệu đề cập đến một sự kiện trong đó dữ liệu quan trọng bị mất đối với doanh nghiệp, chẳng hạn như trong một cuộc tấn công ransomware. Phòng chống mất mát dữ liệu tập trung vào việc ngăn chặn việc chuyển dữ liệu bất hợp pháp ra bên ngoài tổ chức.
Các tổ chức thường sử dụng DLP để:
Để lộ dữ liệu do cố ý hoặc do sơ suất: nhiều vụ rò rỉ dữ liệu xảy ra do nhân viên làm mất dữ liệu nhạy cảm ở nơi công cộng, cung cấp quyền truy cập mạng không an toàn vào dữ liệu hoặc không hạn chế quyền truy cập theo chính sách của tổ chức.
Những kẻ tấn công thâm nhập vào vành đai bảo mật bằng cách sử dụng các kỹ thuật như phishing, mã độc hoặc chèn mã và giành quyền truy cập vào dữ liệu nhạy cảm.
Nếu bạn là thành viên của một tổ chức lớn, bạn có thể sử dụng các công cụ hoặc giải pháp DLP được chỉ định để bảo vệ dữ liệu. Bạn cũng có thể sử dụng công cụ trong SOC (Security Operations Center) để hỗ trợ DLP. Ví dụ: bạn có thể sử dụng SIEM (Security Information and Event) để phát hiện và tương quan các sự kiện có thể tạo thành rò rỉ dữ liệu.
Bảo mật dữ liệu trong chuyển động: là công nghệ được cài đặt ở đường biên mạng (network edge) có thể phân tích lưu lượng để phát hiện dữ liệu nhạy cảm được gửi vi phạm chính sách bảo mật.
Bảo mật dữ liệu ở chế độ nghỉ: các chính sách kiểm soát truy cập, mã hóa và lưu giữ dữ liệu có thể bảo vệ dữ liệu đã lưu trữ của tổ chức.
Bảo mật dữ liệu đang sử dụng: một số hệ thống DLP có thể giám sát và gắn cờ các hoạt động trái phép mà người dùng có thể cố ý hoặc vô ý thực hiện trong các tương tác của họ với dữ liệu.
Nhận dạng dữ liệu: điều quan trọng là xác định xem dữ liệu có cần được bảo vệ hay không. Dữ liệu có thể được xác định là nhạy cảm hoặc được thực hiện thủ công bằng cách áp dụng các rule và metadata hoặc tự động thông qua các kỹ thuật như máy học.
Phát hiện rò rỉ dữ liệu: các giải pháp DLP và các hệ thống bảo mật khác như IDS, IPS và SIEM, xác định việc truyền dữ liệu bất thường hoặc đáng ngờ. Các giải pháp này cũng cảnh báo cho nhân viên an ninh về khả năng bị rò rỉ dữ liệu.
Thuật ngữ DLP đề cập đến việc bảo vệ các tổ chức chống lại mất mát dữ liệu và ngăn chặn rò rỉ dữ liệu. Mất dữ liệu đề cập đến một sự kiện trong đó dữ liệu quan trọng bị mất đối với doanh nghiệp, chẳng hạn như trong một cuộc tấn công ransomware. Phòng chống mất mát dữ liệu tập trung vào việc ngăn chặn việc chuyển dữ liệu bất hợp pháp ra bên ngoài tổ chức.
Các tổ chức thường sử dụng DLP để:
- Bảo vệ thông tin nhận dạng cá nhân và tuân thủ các quy định có liên quan.
- Bảo vệ sở hữu trí tuệ quan trọng đối với tổ chức.
- Hiển thị cách người dùng sử dụng dữ liệu.
- Thực thi bảo mật trong môi trường mang thiết bị cá nhân đi làm (Bring Your Own Device -BYOD).
- Bảo mật dữ liệu trên các hệ thống đám mây từ xa.
- Website
- Máy chủ
- USB
- Thiết bị di động
- Máy in
- Dữ liệu đám mây
- Chat
- Bluetooth / Wifi
- ISP
Nguyên nhân gây rò rỉ dữ liệu
Mối đe dọa từ nội bộ: người trong nội bộ tổ chức hoặc một kẻ tấn công đã xâm phạm tài khoản người dùng nội bộ, lạm dụng quyền của họ và cố gắng chuyển dữ liệu ra bên ngoài tổ chức.Để lộ dữ liệu do cố ý hoặc do sơ suất: nhiều vụ rò rỉ dữ liệu xảy ra do nhân viên làm mất dữ liệu nhạy cảm ở nơi công cộng, cung cấp quyền truy cập mạng không an toàn vào dữ liệu hoặc không hạn chế quyền truy cập theo chính sách của tổ chức.
Những kẻ tấn công thâm nhập vào vành đai bảo mật bằng cách sử dụng các kỹ thuật như phishing, mã độc hoặc chèn mã và giành quyền truy cập vào dữ liệu nhạy cảm.
Ngăn chặn rò rỉ dữ liệu
Tổ chức có thể sử dụng các công cụ bảo mật tiêu chuẩn để bảo vệ khỏi mất mát và rò rỉ dữ liệu. Ví dụ: Hệ thống phát hiện xâm nhập (IDS) có thể cảnh báo về việc kẻ tấn công cố gắng truy cập vào dữ liệu nhạy cảm. Phần mềm antivirus có thể ngăn những kẻ tấn công xâm phạm hệ thống nhạy cảm bằng cách sử dụng mã độc. Tường lửa có thể chặn truy cập từ bất kỳ bên trái phép nào vào các hệ thống lưu trữ dữ liệu nhạy cảm.Nếu bạn là thành viên của một tổ chức lớn, bạn có thể sử dụng các công cụ hoặc giải pháp DLP được chỉ định để bảo vệ dữ liệu. Bạn cũng có thể sử dụng công cụ trong SOC (Security Operations Center) để hỗ trợ DLP. Ví dụ: bạn có thể sử dụng SIEM (Security Information and Event) để phát hiện và tương quan các sự kiện có thể tạo thành rò rỉ dữ liệu.
Các thành phần của giải pháp DLP
Bảo mật điểm cuối (endpoint): bảo mật dựa trên điểm cuối có thể kiểm soát việc truyền thông tin giữa người dùng, nhóm người dùng và các bên bên ngoài. Một số hệ thống dựa trên điểm cuối có thể chặn các kết nối trong thời gian thực và cung cấp phản hồi của người dùng.Bảo mật dữ liệu trong chuyển động: là công nghệ được cài đặt ở đường biên mạng (network edge) có thể phân tích lưu lượng để phát hiện dữ liệu nhạy cảm được gửi vi phạm chính sách bảo mật.
Bảo mật dữ liệu ở chế độ nghỉ: các chính sách kiểm soát truy cập, mã hóa và lưu giữ dữ liệu có thể bảo vệ dữ liệu đã lưu trữ của tổ chức.
Bảo mật dữ liệu đang sử dụng: một số hệ thống DLP có thể giám sát và gắn cờ các hoạt động trái phép mà người dùng có thể cố ý hoặc vô ý thực hiện trong các tương tác của họ với dữ liệu.
Nhận dạng dữ liệu: điều quan trọng là xác định xem dữ liệu có cần được bảo vệ hay không. Dữ liệu có thể được xác định là nhạy cảm hoặc được thực hiện thủ công bằng cách áp dụng các rule và metadata hoặc tự động thông qua các kỹ thuật như máy học.
Phát hiện rò rỉ dữ liệu: các giải pháp DLP và các hệ thống bảo mật khác như IDS, IPS và SIEM, xác định việc truyền dữ liệu bất thường hoặc đáng ngờ. Các giải pháp này cũng cảnh báo cho nhân viên an ninh về khả năng bị rò rỉ dữ liệu.
Chỉnh sửa lần cuối bởi người điều hành: