DLP یا Data Loss Prevention چیست؟

سیستم جلوگیری از نشت اطلاعات

فهرست مطالب

DLP چیست؟

در هر سازمان داده‌های حساسی وجود دارند که از اهمیت بالایی برخوردار هستند. یکی از بهترین روش‌ها برای جلوگیری از نفوذ، نقص و تخریب ناگهانی این داده‌های حساس استفاده از تکنولوژی DLP می‌باشد. DLP یا Data Loss Prevention به معنی جلوگیری از دست دادن داده‌ها است که سازمان‌ها برای مراقبت و محافظت از داده‌هایشان طبق قوانین از این روش استفاده می‌کنند. به طور خلاصه DLP از نشتی و از دست رفتن داده‌‎ها به طور ناگهانی جلوگیری می‌کند و اجازه انتقال داده‌ها به صورت قاچاقی به خارج از مرز‌های سازمان را نمی‌دهد مثل زمانی که سازمان تحت نفوذ یک باج‌افزار قرار می‌گیرد.

کاربرد DLP

معمولا سازمان‌ها با چند هدف از این سیستم استفاده می‌کنند:

  1. محافظت از اطلاعات خصوصی و پیروی از قوانین حفظ اطلاعات.
  2. امکان مشاهده یکجا اطلاعات در سازمان‌های بزرگ.
  3. محافظت هوشمندانه از داده‌های بحرانی سازمان.
  4. محافظت داده‌های ابری به صورت از راه دور.
  5. تامین امنیت داده‌های نیروها در محیط‌هایی که نیروی کار سیار دارند.
  6. جلوگیری از دست رفتن داده‌ها در منابع مختلف سازمان.

جلوگیری از نشت داده‌ها به کمک سیستم DLP

شما می‌توانید از روش‌های استانداردی که برای جلوگیری از نشت اطلاعات یا از دست رفتن آن استفاده کنید. به عنوان مثال استفاده از سیستم Intrusion Detection System (IDS) میتواند در زمانی که مهاجمان در تلاش برای دسترسی به داده‌های حساس هستند به شما هشدار امنیتی بدهند. یا استفاده از نرم‌افزارهای آنتی ویروس که از نفوذ مهاجمان به سیستم‌های حساس جلوگیری می‌کنند. و یا فایروال که میتواند دسترسی‌های غیرمجاز به سیستم‌های ذخیره کننده داده‌های مهم را مسدود کند استفاده کنید. در سازمان‌های بزرگ به فکر استفاده از ابزارهای DLP برای جلوگیری از نشت اطلاعات هستند. آنها همچنین میتوانند از تیم SOC سازمان خود برای کمک به تجهیز ابزارهای DLP استفاده کنند. برای مثال با استفاده از گزارشات سیستم اطلاعات و رویدادهای امنیتی (SIEM) میتوانند رویدادهایی که باعث نشت اطلاعات میشوند را تشخیص داده و از DLP برای جلوگیری از این روش‌ها استفاده کنند.

دلایل نشت داده

به چندتا از رایج ترین دلایل نشت اطلاعات از سازمان اشاره می‌کنیم:

تهدیدات داخلی : یکی از مهمترین دلایل عوامل داخلی هستند ، مثل یک کاربر خودی مخرب و یا مهاجمی که توانسته به یک حساب ممتاز نفوذ کند. آن مهاجم میتواند از دسترسی‌های آن حساب سوء‌استفاده کرده و به سرقت اطلاعات و انتقال آنها به خارج از سازمان بپردازد.

استخراج از طریق مهاجمان : دلیل دیگری که باعث نشت اطلاعات می‌شود سرقت مهاجمان می‌باشد. گاهی هدف مهاجمان فقط یکسری اطلاعات خاص می‌باشد که از تکنیک‌های مختلف استفاده می‌کنند. این تکنیک‌ها شامل فیشینگ، بدافزارها و تزریق کد به محیط امنیتی برای سرقت اطلاعات می‌باشد.

در معرض خطر قرار گذاشتن داده: بعضی از کاربران و مدیران IT منابع مهم را به صورت عمدی یا سهوی در دسترس کل کاربران شبکه قرار می‌دهند و یا در موارد دیگری گزارش شده که دسترسی آزاد  اینترنت داده شده است بدون اعمال هیچ محدودیتی که در نتیجه آن باعث نشت داده می‌شود.

DLP چگونه کار می‌کند؟

تکنولوژی DLP داده‌های حساس و ضروری یک سازمان را شناسایی ، نظارت و از خروج آنها جلوگیری می‌کند. معمولا تمرکز DLP بر مسدود کردن عملیات می‌باشد. مثلا زمانی که یکی از نیروهای سازمان قصد بازارسال یک ایمیل خارج از دامنه سازمان را داشته باشد یا هدف آپلود یک فایل شرکتی در سرویس ذخیره‌ساز ابری مثل DROPBOX را داشته باشد، دسترسی او مسدود شده و امکان انجام را نخواهد داشت. همچنین این تکنولوژی میتواند پورت USB سیستم کاربران را بلاک کند تا اجازه نوشتن و خواندن فایل های غیرمجاز را نداشته باشد. DLP توجه بیشتری روی یکسری از فعالیت‌ها دارد مثل نظارت بر ایمیل‌های دریافتی ، فایل‌های پیوسی مشکوک ، لینک‌ها برای جلوگیری از فیشینگ و غیره. قابلیت دیگری که این تکنولوژی برای سازمان‌ها محیا کرده است امکان علامت گذاری داده‌ی مشکوک به صورت دستی، تا بعدا توسط کارشناسان بررسی شود و در صورت داشتن تناقض با سیاست‌های سازمان آنرا مسدود کنند.

در ابتدا پس از انتشار DLP تیم امنیتی یک سری قوانین برای شناسایی و مسدود کردن تعریف میکردند که پس از مدتی این قوانین دور زده میشد. اما در نسخه‌های جدید این تکنولوژی با کمک هوش مصنوعی و مبتنی بر یادگیری ماشین کار می‌کند و می‎‌تواند شناسایی و مسدود کردن را با گذشت زمان یاد بگیرد و روش‌های دور زدن را مسدود سازد.

  • Data Fingerprinting: در این روش برای هر فایل یک شناسه خاص تولید می‌شود و سیستم DLP که در حال نظارت بر داده‌های خروجی می‌باشد با شناسایی این شناسه‌های منحصر به فرد نشت اطلاعات را تشخیص می‌دهد. 
  •  مطابقت کلمات کلیدی: سیستم DLP به دنبال کلمات یا ترکیبات خاصی می‌گردد و اگر در ایمیل‌ها یا سایر محیط‌های ارتباطی سازمان با خارج، چنین اطلاعاتی تشخیص و شناسایی شود از انتشار آن جلوگیری خواهد کرد.
  • مطابقت الگو: این تکنیک داده‌های متنی را بر اساس الگوهایی طبقه بندی می‌کند. برای مثال فرض کنید که ترافیک HTTP که دیتابیس سازمان خارج می‌شود شامل یه شماره 16 رقمی باشد؛ سیستم جلوگیری از نفوذ این ترافیک را طبقه بندی کرده و اگر محتوای آن را به عنوان اطلاعات حساس تشخیص دهد، ترافیک مربوطه را بلاک خواهد کرد.
  • مطابقت فایل: هش یک فایل که درون سازمان در حال انتقال است یا در حال خارج شدن از سازمان است با مقدار هش فایل‌هایی که تحت محفاظت هستند مقایسه خواهد شد و در صورت تطبیق، انتقال فایل متوقف خواهد شد.

دلایل انتخاب DLP توسط سازمان‌ها

از دست دادن داده‌ها میتواند پیامدهای سنگینی برای یک سازمان یا شرکت داشته باشد از جمله جریمه و کاهش اعتبار آن سازمان. در اینجا به چندتا از دلایل که باعث برگزینی DLP می‌شود اشاره خواهیم کرد:

  • هزینه: با توجه به گزارش‌های سایت IBM میزان هزینه‌ی انجام شده برای از دست دادن داده‌ها در سال 2021 بالغ بر 4.2 میلیون دلار برآورد شده است که به نسبت سال‌های گذشته 10% پیشرفت داشته است.
  • تطبیق‌پذیری: با گسترش قوانین مبتنی بر امنیت نیاز به یک تکنولوژی حس می‌شود تا بتواند این قوانین را برآورده کند .
  • حجم داده‌ها: شرکت‌ها و سازمان‌ها هر روزه درحال تولید مقادیر زیادی داده هستند که این داده‌ها از ارزش بسیار زیادی برخوردار هستند. هکرها به دنبال روش‌های متفاوت با هدف سرقت اطلاعات برای کسب درآمد ، کلاهبرداری و سرقت اطلاعات هویتی هستند.
  • کمبود متخصص: پیدا کردن متخصصین امنیت شبکه تبدیل به کار دشواری شده است و از این رو فروشندگان DLP را برای مدیریت فناوری اطلاعات یک سازمان بدون متخصص پیشنهاد می‌کنند.
  • سطح نفوذ گسترده: با پیشرفت تکنولوژی استفاده از ابزارهای جدید پدید آمده است . شبکه‌های ابری ، نقاط پایانی و سیستم‌های نمایندگی‌های فروش در برابر باج‌افزار و تهدیدات امنیت سایبری آسیب پذیر هستند.
دلایل نشت اطلاعات

ایمن سازی داده‌های درحال انتقال

تکنولوژی به کار رفته در شبکه که میتواند تشخیص دهد داده مهمی که درحال انتقال هستند آیا سیاست‌های امنیتی را نقص می‌کنند یا خیر.

امنیت نقاط پایانی: باید حتما به فکر تامین امنیت نقاط پایانی باشیم. اطلاعاتی که میان کاربران ، گروه‌های کاربران و ارتباط با خارج از شبکه همیشه باید تحت کنترل باشند. برخی از سیستم‌ها میتوانند تلاشی که برای برقراری ارتباط خارج از شبکه با نقطه پایانی داخل شبکه شده را در زمان رویداد مسدود کنند و بازخورد کاربر را گزارش کنند.

امنیت در حالت استراحت: سیاست هایی باید در شبکه انجام بشه تا کنترل دسترسی ، رمزگذاری و حفظ داده‌ها در همه حال محافظت را انجام دهد.

امنیت داده‌های در حال استفاده: سیستم DLP میتواند برخی از فعالیت‌های غیرمجازی که کاربران به صورت عمدی یا سهوی با داده‌های مهم انجام می‌دهند را نظارت کرده و گزارش کند.

شناسائی داده‌ها: انتخاب اینکه کدام داده‌ها حیاتی هستند و نیاز به محافظت دارند یک اصل مهم است. داده‌ها را میتوان با توجه به میزان اهمیتی که دارند به صورت دستی به عنوان داده مهم و حیاتی معرفی کرد یا به طور خودکار به کمک روش یادگیری ماشین اعمال شود.

تشخیص نشت داده‌ها: برای تشخیص انتقال داده‌های مشکوک و ناشناخته شده روش‌های متفاوتی وجود دارد مثل سیستم‌های IDS ،IPS و SIEM که میتوانند ما را به موقع آگاه کنند و از نشت اطلاعات جلوگیری کنند.

راهکارهای DLP و File Security

محصولات DLP به دو دسته اختصاصی و یکپارچه تقسیم میشوند. نسخه اختصاصی یک محصول مستقل است که در عمق کار می‌کند و پیچیده تر از یکپارچه است. نسخه یکپارچه ساده‌تر و می‌تواند با سایر ابزارهای امنیتی فعال باشدو قیمت کمتری نسب به اختصاصی دارد. نرم‌افزارهای DLP برای مطابقت داشتن با قوانین و مقررات، طبقه بندی داده‌ها و محافظت از داده‌های حیاتی و محرمانه از قوانین تجاری تبعیت می‌کند. طبق این قوانین کاربران غیرمجاز نمی‌توانند داده‌هایی که باعث ایجاد خطر برای یک سازمان می‌شود را به صورت عمدی و سهوی استفاده کنند. 

تعدادی از محصولات DLP را با هم مرور می‌کنیم

Broadcom’s Symantec Data Loss Prevention: این نسخه سازمانی نقاط پایانی ، بانک داده‌ها و cloud را دربرمیگرد.
Check Point Data Loss: این محصول بر روی استخراج داده‌ها و جلوگیری از نقص اطلاعات تمرکز دارد.
CoSoSys Endpoint Protector: این نسخه محافظ اختصاصی که شامل تمام ابزارها می‌شود و برای سیستم عامل ویندوز، لینوکس و مک طراحی شده است.
ManageEngine Device Control Plus: این نسخه مخصوص نقاط پایانی می‌باشد و تمرکز بر امنیت USB های متصل به سیستم‌ها را دارد.
McAfee Total Protection for DLP: این نسخه ترکیبی از 6 محصول متفاوت DLP برای نظارت ، کشف و جلوگیری از دست رفتن داده‌ها می‌باشد.
SolarWinds Data Loss Prevention with Access Rights Manager: در سازمان‌هایی با رخنه‌های امنیتی بزرگ ، با توجه به وجود نواقص امنیتی گسترده موجود این محصول میتواند بهترین گزینه باشد.
VikingCloud Endpoint Protection: این نسخه بیشتر بر خطرات احتمالی داخلی مثل استفاده غیر مجاز از اینترنت و سرقت داده‌ها تمرکز دارد.

آیا سیستم DLP تمام آنچه که می‌خواهیم را دارد؟

سیستم‌های DLP همانگونه که در این مقاله توضیح داده شد، وظیفه نظارت بر اطلاعات و داده‌های حساس را دارند و از لو رفتن یا به سرقت رفتن آنها جلوگیری می‌کنند. اما این سیستم مکانیزمی برای شناسایی بدافزارها و حملات تحت شبکه ندارند و تقریبا در برابر آنها بی دفاع هستند. اگر از راهکار امنیت سایبری استفاده می‌کنید که فاقد ویژگی‌های جلوگیری از نشت اطلاعات می‌باشد، توصیه می‌شود نسبت به ارتقاء محصول خود به راهکاری که دارای چنین قابلیت باشد اقدام نماید. اما قاطعانه می‌شود گفت که سیستم DLP نمی‌تواند جایگزین راهکار امنیت سایبری شما شود بلکه در کنار سایر ابزارهای شما، امنیت و محافظت بیشتری را به ارمغان خواهد آورد.