什麼是資料丟失預防 (DLP)？

資料外流可以透過多種不同的方式發生：

• 機密資料可能透過電子郵件或即時訊息離開網路
• 使用者可能在未經授權的情況下將資料複製到外部硬碟上
• 員工可以將資料上傳到公司無法控制的公用雲端
• 外部攻擊者可能獲得未經授權的存取權限並竊取資料

為了防止資料外流，DLP 會追蹤在網路內、員工裝置上以及儲存在公司基礎結構上時的資料移動。然後，它可以傳送警示、變更資料的權限，或者在某些情況下，當資料有離開公司網路的危險時封鎖資料。

資料丟失預防有助於阻止哪些類型的威脅？

內部人員威脅：任何有權存取公司系統的人都被視為內部人員。這可能包括員工、前員工、承包商和供應商。有權存取敏感性資料的內部人員可能洩露、損毀或竊取該資料。DLP 可以透過追蹤網路中的敏感性資訊來協助阻止未經授權的轉寄、複製或損毀敏感性資料。

外部攻擊：資料外流通常是網路釣魚或 惡意軟體型攻擊的最終目標。外部攻擊還可能導致永久性資料遺失或毀損，例如在勒索軟體攻擊中，當內部資料被加密且無法存取時。DLP 可協助防止惡意攻擊者成功獲取或加密內部資料。

意外資料暴露：內部人員經常無意中暴露資料，例如，員工可能會將包含敏感性資訊的電子郵件轉寄給外部人員而沒有意識到這一點。與 DLP 阻止內部人員攻擊的方式類似，它可以透過追蹤網路中的敏感性資訊來偵測和防止這種意外資料暴露。

DLP 如何偵測敏感性資料？

DLP 解決方案可以使用多種技術來偵測敏感性資料。其中一些技術包括：

• 資料指紋識別：此過程會建立一個唯一的數位「指紋」，它可以標識特定的檔案，就像可以透過指紋來識別一個人一樣。檔案的任何複本都具有相同的指紋。DLP 軟體將掃描所傳出資料的指紋，以查看是否有任何指紋與機密檔案的指紋匹配。
• 關鍵字匹配：DLP 軟體在使用者訊息中查找某些字詞或片語，並阻止包含這些字詞和片語的訊息。如果公司希望在財報電話會議之前對其季度財務報告保密，可以設定 DLP 系統，以封鎖包含片語「季度財務報告」或已知會出現在報告中的特定片語的傳出電子郵件。
• 模式匹配：此技術根據文字適合受保護資料類別的可能性對文字進行分類。假設從公司資料庫發出的 HTTP 回應包含一個 16 位數字。DLP 系統將此文字字串歸類為極有可能是信用卡號，這是受保護的個人資訊。
• 檔案匹配：將移動或離開網路的檔案的雜湊與受保護檔案的雜湊進行比較。（雜湊是可以標識檔案的唯一字串；雜湊透過雜湊演算法建立，當給定相同的輸入時，每次都有相同的輸出。）
• 精確資料匹配：這會根據包含應保持在組織控制範圍內的特定資訊的確切資料集檢查資料。

基於角色的存取控制 (RBAC) 如何協助資料丟失預防？

基於角色的存取控制 (RBAC) 基於使用者在組織中的角色，授予他們執行動作的權限。例如，在一個使用 RBAC 的組織中，會計應當能夠存取公司的稅務資料，而工程師則不能夠。

某些 RBAC 解決方案能夠允許存取資料，同時限制對該資料執行的操作。例如，Cloudflare One 可以透過限制檔案下載來阻止使用者在本機儲存資料。這可以防止未經組織許可移動或複製資料。

Cloudflare One 如何防止資料丟失？

Cloudflare One 是一種網路即服務解決方案，可提供許多資料丟失預防功能。透過記錄 DNS 和 HTTP 請求、掃描傳出資料以及透過 RBAC 控制所有應用程式的使用者權限，企業可以使用 Cloudflare One 來阻止資料離開受控環境。Cloudflare One 還提供防止資料丟失的附加功能：詳細瞭解 Cloudflare 的 DLP 解決方案。