PROFILBARU.COM

Data Loss Prevention (DLP) è un termine di sicurezza informatica che fa riferimento a tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete), e dati a riposo (ad esempio la memorizzazione dei dati) all'interno o all'esterno dell'azienda, con il fine di individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate. La perdita dei dati può essere causata sia da attacchi informatici che da errori involontari che possono rendere disponibili dati sensibili. Con dati sensibili si intendono tutte quelle informazioni (sia di privati che di aziende) che riguardano la proprietà intellettuale, informazioni finanziarie o brevetti, dati di carte di credito o altri tipi di dati importanti per aziende o singoli individui.

I termini "perdita di dati" (data loss) e "fuga di dati" (data leak) sono strettamente collegati e sono spesso usati come sinonimi, anche se c'è una piccola differenza tra i due termini. Si parla di perdita di dati nel caso in cui informazioni sensibili vengano effettivamente persi da un'azienda (o in qualche modo resi inaccessibili). Con fuga di dati si intende, invece, l'acquisizione, da parte di un terzo non autorizzato, di questi dati sensibili. In ogni caso la fuga di dati è possibile anche senza la perdita dei dati da parte dell'azienda originaria. Alcuni altri termini associati con la prevenzione della fuga di dati sono: rilevamento perdita di informazioni e prevenzione (ILDP), prevenzione perdita di informazioni (ILP), monitoraggio dei contenuti e filtraggio (CMF), protezione delle informazioni e controllo (IPC), sistema di prevenzione di estrusione (EPS),e il suo contrario: sistema di prevenzione delle intrusioni.

Categorie DLP

Per prevenire o gestire gli incidenti riguardanti la perdita dei dati si utilizzano diversi mezzi tecnologici divisi in queste categorie: misure standard di sicurezza, misure di sicurezza avanzate / intelligenti, controllo degli accessi e di crittografia, e sistemi DLP designati.^[1]

Misure di sicurezza standard

Le misure di sicurezza standard, come firewall, sistemi di rilevamento delle intrusioni (IDS), e antivirus, sono meccanismi comunemente disponibili che proteggono i computer da estranei e da attacchi interni. L'uso di firewall, per esempio, limita l'accesso di estranei alla rete interna, e un sistema di rilevamento delle intrusioni rileva i tentativi di intrusione da parte di estranei. Gli attacchi interni possono essere evitati attraverso scansioni antivirus in grado di rilevare i Trojan installati sui PC che inviano informazioni riservate, e con l'uso di thin client, che operano in una architettura client-server senza dati personali o sensibili memorizzati sul computer di un client.

Misure di sicurezza avanzate

Le misure di sicurezza avanzate, invece, fanno uso di algoritmi di apprendimento automatico e di ragionamento temporale per il rivelamento di accessi insoliti ai dati (ad esempio, database o sistemi di recupero) o scambio insolito di email, honeypot per la rilevazione di personale autorizzato con cattive intenzioni, e la verifica per attività (ad esempio, il riconoscimento di combinazione di tasti). Possono essere usati, inoltre, utenti di monitoraggio attivi per rilevare anomalie nell'accesso ai dati.

Soluzioni DLP designate

Soluzioni DLP designate sono utili per individuare e prevenire tentativi non autorizzati di copiare o inviare dati sensibili, intenzionalmente o meno, senza autorizzazione, soprattutto da parte di personale che possiede autorizzazioni e privilegi per accedere alle informazioni sensibili. Queste soluzioni utilizzano diversi metodi per classificare le informazioni sensibili. Alcuni di questi metodi possono essere la corrispondenza esatta dei dati, i metodi statistici, le regole e corrispondenze delle espressioni regolari, le definizioni concettuali, e l'utilizzo di parole chiave.^[2]

Tipi di sistemi DLP

Network DLP (data in movimento <DiM>)

Esso è tipicamente un software o una soluzione hardware che viene installata all'uscita di rete in punti vicino al perimetro. Viene sfruttata per analizzare il traffico di rete e per rilevare i dati sensibili che potrebbero essere inviati violando la politiche di sicurezza. Le soluzioni DLP Network hanno più punti di controllo che tengono traccia dei dati per essere analizzati da un server di gestione centrale.^[1]

Endpoint DLP (dati in uso <DiU>)

Tali sistemi vengono eseguiti su una workstation degli utenti finali o sul server dell'organizzazione. Come i sistemi basati sulla rete, i sistemi basati sugli endpoint possono indirizzare le comunicazioni interne ed esterne, e possono quindi essere utilizzati per controllare il flusso di informazioni tra gruppi o tipi di utenti (per esempio il Modello Brewer e Nash). Essi possono anche controllare le comunicazioni tramite e-mail e Messaggistica istantanea prima che queste vengano inserite nell'archivio aziendale, in modo da poter bloccare una comunicazione (se un messaggio non viene inviato, esso non è soggetto a regole di conservazione). I sistemi endpoint hanno il vantaggio di poter monitorare e controllare l'accesso ai dispositivi fisici (come ad esempio i dispositivi mobili con capacità di memorizzazione dei dati) e, in alcuni casi, possono accedere alle informazioni prima che queste vengano criptate. I sistemi basati su endpoint possono anche fornire controlli applicativi per bloccare le trasmissioni che tentano di inviare informazioni riservate, e forniscono un feedback immediato per l'utente. Hanno lo svantaggio che hanno bisogno di essere installate su ogni workstation nella rete, e non possono essere utilizzato su dispositivi mobili (ad esempio, telefoni cellulari e PDA) o dove non possono essere fisicamente installati (ad esempio su una workstation in un internet caffè).

Identificazione dei dati

Le soluzioni DLP includono una serie di tecniche per l'identificazione di informazioni riservate o sensibili. A volte confusa con la scoperta, l'identificazione dei dati è un processo mediante il quale le organizzazioni utilizzano una tecnologia DLP per determinare che cosa cercare (in movimento, a riposo, o in uso).

I dati vengono classificati come strutturati o non strutturati. I dati strutturati risiedono in campi fissi all'interno di un file, come un foglio di calcolo, mentre i dati non strutturati si riferiscono alla forma libera testo in documenti di testo o file PDF.^[3] Si stima che circa l'80% di tutti i dati siano non strutturati e il 20% strutturati.^[4] La classificazione dei dati è divisa in analisi del contenuto, concentrata sui dati strutturati, e le analisi contestuale, che guarda il luogo di origine o l'applicazione o il sistema che ha generato i dati.^[5]

Ci sono due principali categorie di metodi per descrivere i contenuti sensibili: metodi precisi e metodi imprecisi.

I metodi precisi sono, per definizione, quelle che coinvolgono contenuti registrati e non innescano gli incidenti del tipo falso positivo.

Tutti gli altri metodi sono imprecisi e possono includere: parole chiave, lessici, le espressioni regolari, tag di metadati, analisi statistiche (come l'apprendimento automatico).

Più potente è un motore di analisi più esso è preciso e accurato. La precisione di identificazione DLP è importante per ridurre ed evitare falsi positivi e negativi. Essa dipende da molti fattori, alcuni dei quali possono essere situazionali o basati sulla tecnologia. Il test della precisione è fortemente raccomandato al fine di garantire una soluzione praticamente libera dai falsi positivi / negativi. Nel caso in cui ci siano alti tassi di falsi positivi renderà il sistema DLD non DLP.

Rilevamento fuga di dati

Dati sensibili possono essere inviati a terzi tramite un distributore di dati sensibili. Appena viene riscontrato che un qualche dato importante si trova in un luogo non autorizzato (ad esempio, sul web o sul computer portatile di un utente), il distributore deve verificare se i dati trovati sono stati trapelati da uno o più terzi, o se sono dati che sono stati raccolti indipendente da altri mezzi.^[6]

Dati a riposo

Con dati a riposo ci si riferisce alle informazioni archiviate memorizzate su un disco rigido di un client, su un'unità di archiviazione di rete o server remoto, o anche ai dati memorizzati su un sistema di backup, come nastri e cd. Queste informazioni sono di grande importanza per le imprese e le istituzioni di governo, semplicemente perché più un dato rimane inutilizzato in un deposito, più è probabile che possa essere recuperato da persone non autorizzate fuori dalla rete.^[7] Per proteggere questo tipo di dato, i sistemi utilizzano metodi come il controllo degli accessi e la crittografia dei dati stessi.^[1]

Dati in uso

I dati in uso sono quei particolari dati attivi memorizzati nel database con cui un utente sta interagendo. I sistemi DLP che proteggono i dati in uso potrebbero monitorare e segnalare determinate attività non autorizzate.^[1] Tra queste attività è presente la cattura dello schermo, il copia/incolla, la stampa e fax che coinvolgono dati sensibili. Si cerca di evitare la trasmissione volontaria o non intenzionale di dati sensibili attraverso canali di comunicazione come IM o siti web.^[8]

Dati in movimento

Sono chiamanti dati in movimento i dati che stanno passando attraverso una rete verso una destinazione finale. Queste reti possono essere interne o esterne. I sistemi DLP che proteggono i dati in movimento controllano i dati sensibili che vengono inviati attraverso una rete attraverso vari canali di comunicazione come email o IM.^[1]

Note

^ ^a ^b ^c ^d ^e Phua, C., Protecting organisations from personal data breaches, Computer Fraud and Security, 1:13-18, 2009
^ Ouellet, E., Magic Quadrant for Content-Aware Data Loss Prevention, Technical Report, RA4 06242010, Gartner RAS Core Research, 2012
^ http://www.pcmag.com/encyclopedia/term/53486/unstructured-data
^ Brian E. Burke, “Information Protection and Control survey: Data Loss Prevention and Encryption trends,” IDC, May 2008
^ Copia archiviata (PDF), su securosis.com. URL consultato il 18 giugno 2016 (archiviato dall'url originale il 12 agosto 2016).
^ Panagiotis Papadimitriou, Hector Garcia-Molina, Data Leakage Detection (PDF), in IEEE Transactions on Knowledge and Data Engineering, vol. 23, n. 1, January 2011, pp. 51–63, DOI:10.1109/TKDE.2010.100. URL consultato il 18 giugno 2016 (archiviato dall'url originale il 5 marzo 2016).
^ Costante, E., Vavilis, S., Etalle, S., Petkovic, M., & Zannone, N. Database Anomalous Activities: Detection and Quantification Archiviato il 3 agosto 2016 in Internet Archive. .SECRYPT 2013
^ D. Gugelmann, P. Studerus, V. Lenders e B. Ager, Can Content-Based Data Loss Prevention Solutions Prevent Data Leakage in Web Traffic?, in IEEE Security Privacy, vol. 13, n. 4, 1º luglio 2015, pp. 52–59, DOI:10.1109/MSP.2015.88, ISSN 1540-7993 (WC · ACNP).

Voci correlate

Metadata remover

Collegamenti esterni

Data Loss Database Archiviato il 19 settembre 2015 su wayback.archive-it.org URL di servizio di archiviazione sconosciuto., maintained by attrition.org