O que é prevenção contra perda de dados (DLP)?

O que é prevenção contra perda de dados (DLP)?

A prevenção da perda de dados (DLP) é uma estratégia para detectar e evitar a exfiltração ou destruição de dados. Muitas soluções de DLP analisam o tráfego de rede e dispositivos internos de "endpoint" para identificar o vazamento ou perda de informações confidenciais. As organizações usam DLP para proteger suas informações de negócios confidenciais e Informações Pessoalmente Identificáveis (PII), o que as ajuda a permanecer em conformidade com os regulamentos do setor e de privacidade de dados.

O que é a exfiltração de dados?

A exfiltração de dados ocorre quando os dados são movidos sem autorização da empresa. Isso também é conhecido como extrusão de dados. O objetivo principal da DLP é evitar a exfiltração de dados.

A exfiltração de dados pode ocorrer de várias maneiras diferentes:

• os dados confidenciais podem sair da rede via e-mail ou mensagens instantâneas
• um usuário pode copiar dados para um disco rígido externo sem autorização para fazê-lo
• Um funcionário poderia carregar dados para uma nuvem pública que está fora do controle da empresa.
• um invasor externo pode obter acesso não autorizado e roubar os dados

Para evitar a exfiltração de dados, a DLP rastreia os dados que se movem na rede, nos dispositivos dos funcionários e quando armazenados na infraestrutura corporativa. Ela pode enviar um alerta, alterar as permissões dos dados ou, em alguns casos, bloquear os dados quando houver risco de sair da rede corporativa.

Que tipos de ameaças a prevenção da perda de dados ajuda a parar?

Ameaças internas: qualquer pessoa com acesso a sistemas corporativos é considerada um insider. Isso pode incluir funcionários, ex-funcionários, contratados e fornecedores. Insiders com acesso a dados confidenciais podem vazar, destruir ou roubar esses dados. A DLP pode ajudar a parar o encaminhamento, a cópia ou a destruição não autorizados de dados sensíveis rastreando informações confidenciais na rede.

Ataques externos: a filtragem de dados é muitas vezes o objetivo definitivo de um ataque baseado em phishing ou malware. Ataques externos também podem resultar em perda ou destruição permanente de dados, como em um ataque de ransomware, quando dados internos se tornam criptografados e inacessíveis. O DLP pode ajudar a evitar que invasores maliciosos tenham sucesso obtendo ou criptografando dados internos.

Exposição acidental de dados: insiders muitas vezes expõem dados inadvertidamente — por exemplo, um funcionário pode encaminhar um e-mail contendo informações confidenciais para uma pessoa de fora sem perceber. Da mesma forma que a DLP pode impedir ataques internos, ela pode detectar e evitar essa exposição acidental de dados rastreando informações confidenciais na rede.

Como a DLP detecta os dados sensíveis?

As soluções de DLP podem usar uma série de técnicas para detectar dados sensíveis. Algumas dessas técnicas incluem:

• Digitalização de impressão digigal: este processo cria uma "impressão digital" exclusiva que pode identificar um arquivo específico, assim como as impressões digitais individuais identificam pessoas individuais. Qualquer cópia do arquivo terá a mesma impressão digital. O software de DLP verificará os dados de saída em busca de impressões digitais para ver se alguma impressão digital corresponde às de arquivos confidenciais.
• Correspondência de palavras-chave: o software de DLP procura determinadas palavras ou frases nas mensagens do usuário e bloqueia as mensagens que contêm essas palavras e frases. Se uma empresa deseja manter seu relatório financeiro trimestral confidencial antes de sua chamada de ganhos, um sistema de DLP pode ser configurado para bloquear e-mails enviados contendo a frase "relatório financeiro trimestral" ou frases específicas que aparecem no relatório.
• Correspondência de padrões: esta técnica classifica o texto pela probabilidade de ele se encaixar em uma categoria de dados protegidos. Suponha que uma resposta HTTP enviada de um banco de dados da empresa contenha um número de 16 dígitos. O sistema de DLP classifica essa sequência de texto como extremamente provável que seja um número de cartão de crédito, que faz parte das informações pessoais protegidas.
• Correspondência de arquivos: um hash de um arquivo que se move dentro da rede ou sai dela é comparado aos hashes de arquivos protegidos. (Um hash é uma sequência única de caracteres que pode identificar um arquivo; hashes são criados por meio de algoritmos de hash, que têm a mesma saída sempre que recebem a mesma entrada).
• Correspondência de dados exata: isto verifica os dados em relação a conjuntos de dados exatos que contêm informações específicas que devem permanecer sob controle organizacional.

Como o controle de acesso baseado em função (RBAC) pode ajudar na prevenção de perda de dados?

O controle de acesso baseado em função (RBAC) dá aos usuários permissão para realizar ações com base em sua função dentro da organização. Por exemplo, um contador em uma organização que usa o RBAC deve ser capaz de acessar dados de impostos corporativos; um engenheiro não poderia.

Algumas soluções RBAC podem permitir o acesso aos dados enquanto restringem o que é feito com esses dados. Por exemplo, o Cloudflare One pode impedir que os usuários salvem dados localmente restringindo downloads de arquivos. Isso impede que os dados sejam movidos ou copiados sem a permissão de uma organização.

Como o Cloudflare One evita a perda de dados?

O Cloudflare One é uma solução de rede como serviço que oferece vários recursos de prevenção contra perda de dados. Ao registrar solicitações de DNS e HTTP, verificar dados de saída e controlar permissões de usuários em todos os aplicativos via RBAC, as empresas podem usar o Cloudflare One para impedir que os dados saiam de ambientes controlados. O Cloudflare One também oferece recursos adicionais para evitar a perda de dados: saiba mais sobre a solução de DLP da Cloudflare.