数据丢失防护(DLP)软件有什么作用?

数据丢失防护软件可阻止数据泄露和未经授权的数据访问。

Share facebook icon linkedin icon twitter icon email icon

数据丢失防护

学习目标

阅读本文后,您将能够:

  • 了解数据丢失防护(DLP)的含义
  • 探索 DLP 的重要性,尤其是对于云计算的重要性
  • 了解 DLP 软件如何阻止机密信息离开公司网络

数据丢失防护(DLP)软件有什么作用?

数据丢失防护(DLP)这个术语指的是用于防止公司数据(尤其是机密数据)遭到泄漏或破坏的策略。DLP 是一个宽泛的类别,包含许多网络安全产品和策略。任何保护数据的产品都可以视为 DLP 的一部分。

专用 DLP 软件执行更加具体的功能:阻止公司机密信息离开公司控制的系统。DLP 软件必须与其他技术(例如加密和访问控制)结合使用来确保数据安全,但它是一个至关重要的部分。

DLP 软件的作用是阻止数据流出,而不是防御理论上的攻击。它通过编辑或标记外发信息或阻止有风险的用户操作来做到这一点。DLP 系统还可以检测对敏感数据的未授权访问,这样的访问可能表明有人试图将数据移动或复制到不受数据所属组织管理的环境中。

想象一座建有城墙的城市,城墙内外都有守卫巡逻。假设城墙外的守卫负责监视攻击,并检查每个进城的人,以确保他们没有携带武器;这些守卫就像典型的网络安全措施,例如防火墙访问控制系统和安全 Web 网关。同时,城墙内的守卫负责检查每个出城的人,以确保他们没有盗取重要的城市资源;这些警卫就像数据丢失防护(DLP)软件。

为什么数据丢失防护很重要?

DLP 对于云计算来说尤其重要。使用云意味着用户几乎不断地通过 Internet 发送数据,这会增加了数据泄露的机会。有鉴于此,DLP 软件已集成到许多云安全和访问控制服务中。

DLP 的重要性也在日渐升高,因为一般数据保护条例(GDPR)和加利福尼亚消费者隐私法案(CCPA)等更新、更严格的法规会严重惩罚泄露客户数据的公司。

DLP 软件如何阻止数据泄露?

有许多方法可以跟踪网络流量中的潜在机密信息。DLP 软件用于检测传出敏感数据的一些技术包括:

  • 数据指纹识别:此过程会创建一个唯一的数字“指纹”,它可以标识特定的文件,就像可以通过指纹来识别一个人一样。文件的任何副本都具有相同的指纹。DLP 软件将扫描所传出数据的指纹,以查看是否有任何指纹与机密文件的指纹匹配。
  • 精确数据匹配:与指纹识别类似,精确数据匹配会寻找一组数据的精确匹配,但不使用指纹。
  • 借助机器学习的用户行为评估:机器学习算法可通过分析成千上万的用户操作,来帮助确定哪些操作可以构成组织中各个用户的“正常”行为。例如,如果用户突然开始从他们之前很少访问的数据库提取数千兆的数据,则 DLP 机器学习可以将其测定为异常操作并撤销他们对该数据库的访问权限。
  • 关键字匹配:DLP 软件在用户消息中查找某些词语或短语,并阻止包含这些词语和短语的消息。如果公司希望在财报电话会议之前对其季度财务报告保密,可以配置 DLP 系统,以阻止包含短语“季度财务报告”或已知会出现在报告中的特定短语的外发电子邮件。
  • 文本分类:此技术通过将文本归入受保护数据类别的可能性对文本进行分类。假设从公司数据库发出的 HTTP 响应包含与电子邮件地址格式相符的文本:一组字符,后跟 @ 符号,然后是域名。DLP 系统会将该文本字符串归类为极有可能是电子邮件地址,可视为受保护的个人信息。

一旦检测到,DLP 软件可以通过执行以下操作之一来阻止机密数据离开:

阻止用户操作:当内部用户尝试访问或发出应保密的数据时,DLP 系统可以阻止他们这样做。例如,DLP 系统可以阻止用户将业务电子邮件转发到公司外部的域。假设鲍勃在 Acme 就职并且他的电子邮件地址是 bob@acme.com,如果他试图将电子邮件从 Acme 内部转发到 chuck@gmail.com 等非 acme.com 域,Acme 的 DLP 系统会阻止这封电子邮件。同样,某些 DLP 系统可以禁止复制数据。因此,如果鲍勃试图复制和粘贴机密数据,该数据不会进入计算机用于复制和粘贴的剪贴板中。

编辑:编辑某些内容意味着将其隐藏或消除。例如,经过编辑的法律文件会将某些文字涂黑来隐藏信息。在数据丢失防护方面,DLP 系统可以通过替换为空值或一系列无意义的字符(例如“****”)来删除或遮盖数据中检测到的机密信息。

标记化:标记化是将数据值替换为与该值对应的标记的过程。标记可以像实际值一样使用,而且这样不会暴露实际值。

一些 DLP 系统可对传出的机密数据进行标记化处理,而不是进行拦截或编辑。假设鲍勃向爱丽丝发送电子邮件,邮件中含有他的信用卡号 4111 1111 11111111。鲍勃的公司的 DLP 系统将这组数字识别为信用卡号,自动将它替换为标记化的值 ABCD EFGH ABCD EFGH。爱丽丝可以使用这个标记化的值代替鲍勃的实际信用卡号,而鲍勃的公司系统会识别这个标记并将其替换成实际值来进行内部处理。

哪些云安全解决方案融合了 DLP?

DLP 可以作为独立产品提供,但通常捆绑在其他云安全解决方案中,尤其是安全 Web 网关和云安全访问代理(CASB)产品套件。这样,公司可以同时阻止传入威胁和传出数据泄漏。

Cloudflare 如何防范数据丢失?

Cloudflare for Teams 是面向组织安全的产品套件,可确保公司内部数据、设备和员工的安全。Cloudflare 通过访问控制来阻止可能导致数据泄露的操作。Cloudflare 还通过Web 应用程序防火墙(WAF)和 DNS 过滤等来阻止外部攻击,同时也提供强大的加密来确保数据在传输过程中的安全。