什麼是 DLP(資料丟失預防)?

資料丟失預防 (DLP) 可確保關鍵業務資料或敏感性資料不離開組織的網路且不會受損或被清除。

學習目標

閱讀本文後,您將能夠:

  • 瞭解資料丟失預防 (DLP) 的含義
  • 探索 DLP 可協助阻止的威脅類型
  • 瞭解 DLP 軟體如何偵測機密資訊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DLP(資料丟失預防)?

資料丟失預防 (DLP) 是一種用於偵測和防止資料外流或資料毀損的策略。許多 DLP 安全性解決方案會分析網路流量和內部「端點」裝置,以識別機密資訊的洩漏或遺失。組織使用 DLP 來保護其機密商務資訊和個人識別資訊 (PII),這有助於他們遵守行業和資料隱私法規。

什麼是資料外流?

資料外流是指資料在未經公司授權的情況下移動。這也稱為資料擠出。DLP 的主要目標是防止資料外流。

資料外流可以透過多種不同的方式發生:

  • 機密資料可能透過電子郵件或即時訊息離開網路
  • 使用者可能在未經授權的情況下將資料複製到外部硬碟上
  • 員工可以將資料上傳到公司無法控制的公用雲端
  • 外部攻擊者可能獲得未經授權的存取權限並竊取資料
  • 員工可以將敏感性資料上傳到 AI 工具中,例如大型語言模型 (LLM)

為了防止資料外流,DLP 會追蹤在網路內、員工裝置上以及儲存在公司基礎結構上時的資料移動。然後,它可以傳送警示、變更資料的權限,或者在某些情況下,當資料有離開公司網路的危險時封鎖資料。一些 DLP 安全解決方案甚至可以封鎖 Web 應用程式內的複製和粘貼,以阻止機密資料被複製到不安全的 App 中,或以其他方式未經許可移動。

資料丟失預防有助於阻止哪些類型的威脅?

內部人員威脅:任何有權存取公司系統的人都被視為內部人員。這可能包括員工、前員工、承包商和供應商。有權存取敏感性資料的內部人員可能洩露、損毀或竊取該資料。DLP 可以透過追蹤網路中的敏感性資訊來協助阻止未經授權的轉寄、複製或損毀敏感性資料。

外部攻擊:資料外流通常是網路釣魚惡意軟體型攻擊的最終目標。外部攻擊還可能導致永久性資料遺失或毀損,例如在勒索軟體攻擊中,當內部資料被加密且無法存取時。DLP 可協助防止惡意攻擊者成功獲取或加密內部資料。

意外資料暴露:內部人員經常無意中暴露資料,例如,員工可能會將包含敏感性資訊的電子郵件轉寄給外部人員而沒有意識到這一點。與 DLP 安全性阻止內部人員攻擊的方式類似,它可以透過追蹤網路中的敏感性資訊來偵測和防止這種意外資料暴露。

AI 資料曝光:公開可用的 AI 應用程式會將它們收到的輸入新增到資料集並進一步訓練模型。這可能會導致應用程式之後向外部人員洩露資料。AI 工具也可能不符合組織需要遵循的資料法規,如果上傳資料,組織就會不合規。

違反法規:如果企業受通用資料保護條例 (GDPR) 等資料監管框架的約束,那麼資料暴露就是一種違規行為,可能導致罰款和其他處罰。DLP 有助於降低此類違規風險。

DLP 如何偵測敏感性資料?

DLP 解決方案可以使用多種技術來偵測敏感性資料。其中一些技術包括:

  • 資料指紋識別:此過程會建立一個唯一的數位「指紋」,它可以標識特定的檔案,就像可以透過指紋來識別一個人一樣。檔案的任何複本都具有相同的指紋。DLP 軟體將掃描所傳出資料的指紋,以查看是否有任何指紋與機密檔案的指紋匹配。
  • 關鍵字匹配:DLP 軟體在使用者訊息中查找某些字詞或片語,並阻止包含這些字詞和片語的訊息。如果公司希望在財報電話會議之前對其季度財務報告保密,可以設定 DLP 系統,以封鎖包含片語「季度財務報告」或已知會出現在報告中的特定片語的傳出電子郵件。
  • 模式匹配:此技術根據文字適合受保護資料類別的可能性對文字進行分類。假設從公司資料庫發出的 HTTP 回應包含一個 16 位數字。DLP 系統將此文字字串歸類為極有可能是信用卡號,這是受保護的個人資訊
  • 檔案匹配:將移動或離開網路的檔案的雜湊與受保護檔案的雜湊進行比較。(雜湊是可以標識檔案的唯一字串;雜湊透過雜湊演算法建立,當給定相同的輸入時,每次都有相同的輸出。)
  • 精確資料匹配:這會根據包含應保持在組織控制範圍內的特定資訊的確切資料集檢查資料。

有哪些重要的資料丟失預防最佳做法?

資料丟失預防不僅僅是一種技術解決方案:組織的整個安全性原則應圍繞避免資料丟失展開。除了啟用 DLP 解決方案之外,預防丟失的一些最佳做法還包括:

  • 對內部使用者進行安全措施教育
  • 維持對所有儲存資料的可見性
  • 使用存取控制來限制誰可以檢視或更改資料
  • 加密傳輸和待用狀態的檔案
  • 使用 Zero Trust 方法,確保預設情況下不信任任何裝置或使用者

Cloudflare One 如何防止資料丟失?

Cloudflare One 平台具有統一的安全功能(包括 DLP),可保護 Web、SaaS 和私人應用程式中傳輸中、使用中和待用的資料。Cloudflare One 會檢查檔案和 HTTPS 流量中是否存在敏感性資料,並允許客戶設定允許或封鎖原則。Cloudflare One 還整合了遠端瀏覽器隔離 (RBI),以實現進一步的 DLP 功能,例如限制下載和上傳、鍵盤輸入和列印。瞭解有關 Cloudflare One 的更多資訊