INFORMATION SECURITY

Data Loss Prevention (DLP)

Firmen besitzen veritable Universen unverwalteter Informationen. Trotz hoher Investitionen in SANs und Datenbanken zur Kontrolle des stetig wachsenden Contents, der von Mitarbeitern, Kunden und Geschäftsprozessen permanent produziert wird, dürften nur wenige Firmen wissen, wo sensitive Daten gespeichert und wie diese gesichert werden.

Während bestimmter Content in gesicherten Datenbanken, Servern und Document Management Systemen verwaltet wird, dürfte ein Grossteil der Informationen sich unverwaltet über Mailboxen, Mitarbeiter Laptops oder unmanaged Fileshares erstrecken. Dadurch entsteht das Risiko von Compliance Verletzungen, Insider Missbrauch und auch externen Angriffen.

Eine geeignete Methode zur Minimierung dieses Risikos bieten Data Loss Prevention (DLP) Produkte. Unter DLP versteht man ein Produkt, das über eine zentrale Policy und Data-at-Rest, Data-in-Motion und Data-in-Use identifiziert, überwacht und vor nicht-authorisiertem Zugriff schützt.

Während eine Network DLP Komponente nur überwacht, wie Nutzer sensitive Informationen via Netzwerk austauschen, identifiziert die Content Discovery DLP Komponente, wo sensitive Informationen innerhalb des Corporate Networks gespeichert sind und wie oft darauf zugegriffen wird und ist daher ein wirksames Mittel zur Reduktion des Leak Risk.

Content Discovery Use Cases

Einige Use Cases veranschaulichen das Potential zur Risikoreduktion:

In jedem Cases liegt der Schwerpunkt der Risikovermeidung auf Reduktion der Angriffsfläche und der Identifizierung sensitiver Informationen im Firmennetz.

Deep Content Analysis

Die Basis für Content Discovery bildet die sogenannte Deep Content Analysis. Als Techniken der Analysis sind zu nennnen: partielles Document Matching, Datenbank Fingerprinting, Regel-basiertes Scanning, statistische Methoden oder auch prädefinierte Kategorien z.B. für Patientendaten. Diese Ansätze sind substantiell effektiver als reines Keyword Searching oder RegEx Matching.

Die Architektur eines Content Analysis Systems besteht aus folgenden Komponenten:

Gute DLP Lösungen analysieren nicht nur den Inhalt, sondern auch den Kontext, d.h., sie lesen zum Beispiel die Access Control Informationen von Files und bewerten diese anhand der Corporate Directory Einträge für Nutzer- und Gruppen Berechtigungen.


Enforcement

Wenn die Content Discovery Engine ein Objekt in einer unzulässigen Lokation entdeckt, kann sie Enforcement Regeln aktivieren. Das Spektrum reicht von einem einfachen Alarm bis zu proaktiven Schutzmassnahmen: