Ochrana před únikem dat (DLP)
Systém DLP ochrání citlivé informace před cíleným útokem i vynesením ze strany vlastních zaměstnanců.

Popis řešení
Data Loss Prevention technologie slouží k identifikaci a ochraně citlivých dat a informací před jejich ztrátou či odcizením. Je vhodná pro firmy, které potřebují mít svá citlivá data chráněna a monitorována.
Tato technologie dokáže monitorovat data na koncových stanicích a rovněž na serverech, a to i při jejich přenosu po síti. Díky jejímu nasazení lze efektivně zabránit úniku či ztrátě dat, ať již například přes externí média, jakými jsou flash-disky, USB, externí disky atp., tak i při odeslání dat elektronickou poštou, jejich sdílením do webové sítě či vytisknutím.
Příklady kritických a důvěrných dat:
Proč tuto problematiku řešit?
Tato technologie dokáže monitorovat data na koncových stanicích a rovněž na serverech, a to i při jejich přenosu po síti. Díky jejímu nasazení lze efektivně zabránit úniku či ztrátě dat, ať již například přes externí média, jakými jsou flash-disky, USB, externí disky atp., tak i při odeslání dat elektronickou poštou, jejich sdílením do webové sítě či vytisknutím.
Příklady kritických a důvěrných dat:
- Duševní vlastnictví: zdrojové kódy, dokumenty k návrhu produktu, dokumentace k procesu, interní ceníky
- Firemní data: finanční dokumenty, dokumenty strategického plánování, průzkum due diligence v oblasti fúzí a akvizic, informace o zaměstnancích
- Údaje o zákaznících: rodná čísla, čísla kreditních karet, lékařské záznamy, finanční výpisy
Proč tuto problematiku řešit?
- Možné finanční ztráty;
- Legislativní požadavky;
- Ztráta reputace firmy na trzích;
- Odcizení technologických patentů či osobních dat klientů;
- Prevence před bezpečnostními incidenty.
- Monitorování veškerých toků citlivých dat.
- Možnost pasivního sledování i aktivního zásahu (např. zablokování, šifrování atp.).
- Automatické vyhledávání a „úklid“ citlivých dat z volně přístupných úložišť.
- Nadřízený pracovník je automaticky informován o snaze zaměstnanců vynést citlivé informace.
- Systém uživatele učí, jak nakládat s citlivými daty.
- Zaměstnanci si jsou vědomi dohledu, což má preventivní účinek.
Forcepoint DLP
Řešení Forcepoint Data & Insider Threat Security rozpoznává a chrání kritická podniková data na úrovni koncových bodů, sítě a cloudových služeb, aby splňovala firemní požadavky na dodržování předpisů a chránila duševní vlastnictví.
Hlavní výhody řešení Forcepoint:
Server pro správu a data Forcepoint
Server Forcepoint Management je centrálním bodem, ze kterého se provádí kompletní konfigurace, monitorování a podávání zpráv. Server pro správu je server se systémem Windows, na kterém je spuštěno řešení pro správu Forcepoint. V rámci modulu Zabezpečení dat slouží tento server jako řídicí server pro technologii DLP. To znamená nastavení zásad, snímání otisků prstů, generování zpráv a shromažďování forenzních dat. Datový modul Forcepoint lze nainstalovat na více serverů (DLP Servery) a sdílet tak analytickou zátěž.
Všechny nastavené zásady jsou uloženy v databázi zásad. Pro optimální výkon jsou kopie databáze zásad a databáze otisků souborů uloženy lokálně na každém ze serverů. Datový modul Forcepoint je povinný pro všechny komponenty Forcepoint DLP.
Zásady DLP se spravují a definují na serveru pro správu v části Data. Tyto zásady zahrnují pravidla, výjimky, podmínky, zdroje a cíle. Správce Forcepoint poskytuje monitorování stavu a aktuální konfigurace řešení DLP i koncového zařízení. Zásady jsou zobrazeny ve stromové struktuře v abecedním pořadí pod přiřazenou úrovní. Zásady můžete kdykoli přidat nebo upravit. Každá zásada se skládá ze souboru pravidel a případně souboru výjimek.
Forcepoint Data protection vám také umožňuje kontrolovat pohyb citlivých dat pomocí e-mailu v rámci vaší organizace. V závislosti na nasazení můžete chránit odchozí, příchozí, interní nebo veškerou e-mailovou komunikaci. Chcete-li sledovat e-mailovou komunikaci mimo počítače s nasazeným koncovým bodem ochrany dat, musíte mít nasazenou síť DLP. V takovém případě se e-maily kontrolují pomocí síťového zařízení Email Gateway nebo Forcepoint Data protector.
Zásady vytváříte tak, že klasifikujete obsah dat, která chcete chránit. Obsah dat můžete klasifikovat pomocí samotného souboru (a jeho metadat, vlastností), klíčové fráze, klasifikační značky, skriptu, regulárního výrazu nebo slovníků. Další možností je použít otisky dokumentů získané pomocí funkce Forcepoint fingerprinting nebo pomocí strojového učení, kdy zadáte příklady typů dat, které chcete chránit, a systém se na jejich základě naučí rozhodovat.
Po klasifikaci dat vytvoříte pravidlo obsahující klasifikaci obsahu a podmínky, podle kterých se má obsah posuzovat. Pokud například obsahuje 3 klíčová slova a přílohu o velikosti více než 2 MB, spustí se událost. V pravidle definujete zdroje a cíle, které chcete analyzovat.
Řešení DLP nabízí plně přizpůsobitelné reporty, které lze naplánovat tak, aby se spouštěly v určitý čas, a odesílat je na definované e-mailové adresy. Řešení DLP také umožňuje přizpůsobitelné úpravy prvků a kategorií pro účely správy incidentů, rozsáhlou správu uživatelů s možností definovat role a přístup k jednotlivým funkcím konzoly pro správu.
Hlavní výhody řešení Forcepoint:
- Řazení rizikových incidentů (IRR) - řešení se pomocí analýzy chování a strojového učení zaměří na oblasti s nejvyšším rizikem.
- Podpora Office 365 - rozšiřuje podnikové zásady DLP a prosazuje je prostřednictvím Office365 s flexibilními možnostmi nasazení včetně Microsoft Azure. Integruje technologie společnosti Microsoft pro klasifikaci dat a digitální práva s cílem zvýšit viditelnost a kontrolu kritických dat v celé infrastruktuře.
- Integrace pracovního postupu incidentů - Pomocí kontroly a nápravy můžete incidenty řešit rychleji - buď e-mailem, nebo přímo ve Forcepoint Security Manageru.
- Předdefinované šablony zásad pro průmyslové podniky a regulace (včetně GDPR EU)
- Zjišťuje a chrání osobní identifikovatelné údaje (PII), oborová data a duševní vlastnictví s využitím oborových zásad a regulačních šablon.
- Pokročilá detekce - detekuje kritická data na obrázcích pomocí optického rozpoznávání znaků (OCR), aktivitu při kumulativním přenosu dat (analýza Drip-DLP) a indikátory kompromitace, které vedou ke krádeži dat.
- Integruje ochranu dat a zabezpečení proti vnitřním hrozbám - Forcepoint Insider Threat zahrnuje povědomí o datech pro automatickou detekci rizikových osob a organizuje vyšetřování náhodných, kompromitovaných a škodlivých uživatelů.
Server pro správu a data Forcepoint
Server Forcepoint Management je centrálním bodem, ze kterého se provádí kompletní konfigurace, monitorování a podávání zpráv. Server pro správu je server se systémem Windows, na kterém je spuštěno řešení pro správu Forcepoint. V rámci modulu Zabezpečení dat slouží tento server jako řídicí server pro technologii DLP. To znamená nastavení zásad, snímání otisků prstů, generování zpráv a shromažďování forenzních dat. Datový modul Forcepoint lze nainstalovat na více serverů (DLP Servery) a sdílet tak analytickou zátěž.
Všechny nastavené zásady jsou uloženy v databázi zásad. Pro optimální výkon jsou kopie databáze zásad a databáze otisků souborů uloženy lokálně na každém ze serverů. Datový modul Forcepoint je povinný pro všechny komponenty Forcepoint DLP.
Zásady DLP se spravují a definují na serveru pro správu v části Data. Tyto zásady zahrnují pravidla, výjimky, podmínky, zdroje a cíle. Správce Forcepoint poskytuje monitorování stavu a aktuální konfigurace řešení DLP i koncového zařízení. Zásady jsou zobrazeny ve stromové struktuře v abecedním pořadí pod přiřazenou úrovní. Zásady můžete kdykoli přidat nebo upravit. Každá zásada se skládá ze souboru pravidel a případně souboru výjimek.
Forcepoint Data protection vám také umožňuje kontrolovat pohyb citlivých dat pomocí e-mailu v rámci vaší organizace. V závislosti na nasazení můžete chránit odchozí, příchozí, interní nebo veškerou e-mailovou komunikaci. Chcete-li sledovat e-mailovou komunikaci mimo počítače s nasazeným koncovým bodem ochrany dat, musíte mít nasazenou síť DLP. V takovém případě se e-maily kontrolují pomocí síťového zařízení Email Gateway nebo Forcepoint Data protector.
Zásady vytváříte tak, že klasifikujete obsah dat, která chcete chránit. Obsah dat můžete klasifikovat pomocí samotného souboru (a jeho metadat, vlastností), klíčové fráze, klasifikační značky, skriptu, regulárního výrazu nebo slovníků. Další možností je použít otisky dokumentů získané pomocí funkce Forcepoint fingerprinting nebo pomocí strojového učení, kdy zadáte příklady typů dat, které chcete chránit, a systém se na jejich základě naučí rozhodovat.
Po klasifikaci dat vytvoříte pravidlo obsahující klasifikaci obsahu a podmínky, podle kterých se má obsah posuzovat. Pokud například obsahuje 3 klíčová slova a přílohu o velikosti více než 2 MB, spustí se událost. V pravidle definujete zdroje a cíle, které chcete analyzovat.
Řešení DLP nabízí plně přizpůsobitelné reporty, které lze naplánovat tak, aby se spouštěly v určitý čas, a odesílat je na definované e-mailové adresy. Řešení DLP také umožňuje přizpůsobitelné úpravy prvků a kategorií pro účely správy incidentů, rozsáhlou správu uživatelů s možností definovat role a přístup k jednotlivým funkcím konzoly pro správu.
Koncový bod DLP
Uplatňuje granulární zásady zabezpečení. Technologie Forcepoint poskytuje správcům granulární kontrolu nad obsahem, pomocí kterého uživatelé a aplikace přistupují k datům, a nad tím, kam mohou data odesílat a jakými kanály je mohou odesílat.
Ví, co dělají vaši uživatelé. Forcepoint nabízí několik způsobů, jak zajistit, aby uživatelé dodržovali zásady. Ať už se jedná o aktivity uvnitř nebo vně firemní sítě.
Zastavení exfiltrace dat dříve, než k ní dojde. Technologie Forcepoint DLP poskytuje zabezpečení, které zabraňuje úniku kritických dat bez ohledu na to, kde se data nacházejí. Forcepoint DLP Endpoint má také zabezpečenou ochranu SW proti neoprávněné modifikaci nebo odinstalaci. Pro správce DLP poskytuje možnost "obejít" vzdáleně nebo místně zakázat agenty DLP na koncových stanicích.
Ví, co dělají vaši uživatelé. Forcepoint nabízí několik způsobů, jak zajistit, aby uživatelé dodržovali zásady. Ať už se jedná o aktivity uvnitř nebo vně firemní sítě.
Zastavení exfiltrace dat dříve, než k ní dojde. Technologie Forcepoint DLP poskytuje zabezpečení, které zabraňuje úniku kritických dat bez ohledu na to, kde se data nacházejí. Forcepoint DLP Endpoint má také zabezpečenou ochranu SW proti neoprávněné modifikaci nebo odinstalaci. Pro správce DLP poskytuje možnost "obejít" vzdáleně nebo místně zakázat agenty DLP na koncových stanicích.
Řešení je součástí balíčku DLP Endpoint
DLP Protector
Protector analyzuje data v síti. Může je pouze sledovat nebo dokonce blokovat. Podporuje smtp, http, ftp nebo integraci s proxy servery prostřednictvím ICAP. Může být nasazen inline nebo pouze monitorován na portu SPAN přepínače. Pokud váš současný proxy server nepodporuje protokol ICAP, lze chránič nahradit proxy serverem Forcepoint, který je zřetězený s vaším současným proxy serverem. Řešení je součástí balíčku DLP Network.
Brána zabezpečení e-mailu
E-mailová brána pro kontrolu DLP přenosů smtp z místních serverů. Po přidání licence jej lze použít také pro antispamovou a antivirovou kontrolu pro smtp.
Mobilní agent Active-sync
Mobilní agent je software používaný k zabezpečení obsahu e-mailu, který je synchronizován s mobilním zařízením uživatele pomocí služby Exchange ActiveSync. Zahrnuje kontrolu obsahu e-mailových zpráv, událostí kalendáře a úkolů. Řešení je součástí balíčku DLP Network.
Hodnocení rizika incidentu
Každý den analyzuje protokoly z předchozího dne a vytvoří zprávu s incidenty s nejvyšší úrovní rizika. Aby IRR fungovalo správně, je třeba zavést správné zásady, které nebudou generovat příliš mnoho falešně pozitivních incidentů. Řešení je součástí balíčku DLP Endpoint.
Dynamická ochrana dat
V reálném čase vyhodnocuje rizikovost chování uživatelů na základě generovaných incidentů a umožňuje tuto rizikovost zohlednit v zásadách. To znamená, že umožňuje zakázat činnosti, které jsou běžným uživatelům povoleny, uživatelům, jejichž chování vyhodnotí jako rizikové. Řešení je součástí balíčku Dynamic Data Protection.
Forcepoint ONE
Forcepoint ONE je cloudová platforma, která umožňuje nasadit Secure Web Gateway (cloudový webový proxy server pro kontrolu obsahu), Cloud Access Security Broker a Zero Trust Network Access (přístup k webovým stránkám s neznámou důvěryhodností).
Pro cloudovou ochranu DLP je vyžadován modul CASB, který zajistí granulární přístup k firemním aplikacím a datům SaaS z libovolného zařízení. CASB zablokuje stahování citlivých dat v reálném čase. Kontroluje také data v cloudovém úložišti a v případě potřeby provádí nápravná opatření.
Protector analyzuje data v síti. Může je pouze sledovat nebo dokonce blokovat. Podporuje smtp, http, ftp nebo integraci s proxy servery prostřednictvím ICAP. Může být nasazen inline nebo pouze monitorován na portu SPAN přepínače. Pokud váš současný proxy server nepodporuje protokol ICAP, lze chránič nahradit proxy serverem Forcepoint, který je zřetězený s vaším současným proxy serverem. Řešení je součástí balíčku DLP Network.
Brána zabezpečení e-mailu
E-mailová brána pro kontrolu DLP přenosů smtp z místních serverů. Po přidání licence jej lze použít také pro antispamovou a antivirovou kontrolu pro smtp.
Mobilní agent Active-sync
Mobilní agent je software používaný k zabezpečení obsahu e-mailu, který je synchronizován s mobilním zařízením uživatele pomocí služby Exchange ActiveSync. Zahrnuje kontrolu obsahu e-mailových zpráv, událostí kalendáře a úkolů. Řešení je součástí balíčku DLP Network.
Hodnocení rizika incidentu
Každý den analyzuje protokoly z předchozího dne a vytvoří zprávu s incidenty s nejvyšší úrovní rizika. Aby IRR fungovalo správně, je třeba zavést správné zásady, které nebudou generovat příliš mnoho falešně pozitivních incidentů. Řešení je součástí balíčku DLP Endpoint.
Dynamická ochrana dat
V reálném čase vyhodnocuje rizikovost chování uživatelů na základě generovaných incidentů a umožňuje tuto rizikovost zohlednit v zásadách. To znamená, že umožňuje zakázat činnosti, které jsou běžným uživatelům povoleny, uživatelům, jejichž chování vyhodnotí jako rizikové. Řešení je součástí balíčku Dynamic Data Protection.
Forcepoint ONE
Forcepoint ONE je cloudová platforma, která umožňuje nasadit Secure Web Gateway (cloudový webový proxy server pro kontrolu obsahu), Cloud Access Security Broker a Zero Trust Network Access (přístup k webovým stránkám s neznámou důvěryhodností).
Pro cloudovou ochranu DLP je vyžadován modul CASB, který zajistí granulární přístup k firemním aplikacím a datům SaaS z libovolného zařízení. CASB zablokuje stahování citlivých dat v reálném čase. Kontroluje také data v cloudovém úložišti a v případě potřeby provádí nápravná opatření.
Topologie připojení
V kontextu řešení ochrany dat lze rozlišit tři základní typy dat. Architektura řešení ochrany dat pracuje se všemi typy dat, z nichž každý je nasazen na jiné technologické úrovni.
Data "v používání " - data "v používání" jsou data, která se aktivně používají. Příkladem jsou nově vytvořené dokumenty, stávající aktivně používané dokumenty nebo data uložená v e-mailech či kalendářích. Tento typ dat je chráněn řešením pro koncové body (modul DLP Endpoint).
Data "v pohybu " - Datové toky a veškerá data obsažená v síťové komunikaci nebo data "v pohybu". K dispozici jsou řešení v podobě webových proxy serverů a e-mailových bran nebo webových a e-mailových DLP. Tento typ dat je chráněn modulem DLP Network pro místní síť a Forcepoint ONE CASB pro data v cloudu.
Data "v klidu " - Jedná se většinou o historická a nekategorizovaná data, která se nacházejí na sdílených úložištích. V jedné společnosti mohou být miliony takových dokumentů. O skenování dokumentů se stará modul DLP Discover. Pro data v cloudu prostřednictvím modulu Forcepoint ONE CASB.
Konfigurační řešení
Vyhledávaná/sledovaná data odpovídají průsečíku požadavků v jednotlivých oblastech při zavádění DLP do provozu. Detekce citlivých dat se podle metod detekce dělí na:
Data "v používání " - data "v používání" jsou data, která se aktivně používají. Příkladem jsou nově vytvořené dokumenty, stávající aktivně používané dokumenty nebo data uložená v e-mailech či kalendářích. Tento typ dat je chráněn řešením pro koncové body (modul DLP Endpoint).
Data "v pohybu " - Datové toky a veškerá data obsažená v síťové komunikaci nebo data "v pohybu". K dispozici jsou řešení v podobě webových proxy serverů a e-mailových bran nebo webových a e-mailových DLP. Tento typ dat je chráněn modulem DLP Network pro místní síť a Forcepoint ONE CASB pro data v cloudu.
Data "v klidu " - Jedná se většinou o historická a nekategorizovaná data, která se nacházejí na sdílených úložištích. V jedné společnosti mohou být miliony takových dokumentů. O skenování dokumentů se stará modul DLP Discover. Pro data v cloudu prostřednictvím modulu Forcepoint ONE CASB.
Konfigurační řešení
Vyhledávaná/sledovaná data odpovídají průsečíku požadavků v jednotlivých oblastech při zavádění DLP do provozu. Detekce citlivých dat se podle metod detekce dělí na:
- Vyhledávání klasifikačních značek.
- Použití výchozích pravidel výrobce.
- Použití regulárních výrazů k detekci speciálních dat.
- Použití slovníku k vyhledávání databází kontaktů a dat.
- Detekce podle formátu, typu, popisu nebo vlastností dat a metadat.
- Detekce na základě kontextu dat.
- Otisky souborů.
- Zjišťování otisků z databáze.
- Zpracování vzorových dat pomocí umělé inteligence (strojového učení).
- Rodná čísla
- Příjmení
- E-mailové adresy
- Adresy
- Telefonní čísla
- IP adresy, MAC adresy
- Zdravotní záznamy
- Informace o společnosti:
- Čísla zákazníků
- Čísla smluv
- Bankovní informace:
- Čísla kreditních karet
- Čísla účtů (IBAN)
- PCI DSS:
- Čísla kreditních karet
- Dokumenty:
- Otisk chráněného dokumentu
- Určený formát monitorování
- Sledování zašifrovaných souborů
- Utajované dokumenty
Příklady architektury řešení
Řešení obvykle dodáváme v následujících variantách:
- Koncový bod - chrání "data v provozu" kontrola se provádí pouze na koncových stanicích
- Endpoint + Discovery - oproti předchozímu řešení umožňuje dodatečnou kontrolu síťových zařízení "v klidu"
- Sada DLP (Endpoint + Discovery + Network) - oproti předchozímu řešení umožňuje dodatečnou kontrolu "dat v pohybu" na úrovni sítě.
- Endpoint + Discovery + Forcepoint ONE CASB - umožňuje kontrolu koncových bodů a cloudových služeb
- Dynamická ochrana dat - modul umožňuje vyhodnocovat rizikovost chování uživatelů na základě incidentů DLP v reálném čase a na základě toho upravovat jejich práva. Tento modul je nasazen po nasazení a odladění předchozích modulů a zásad.
- Možnost provádět off-line zálohování konfigurace, zásad a incidentů s forenzními daty.
- Obnovení konfigurace a incidentů ze záloh.
- Možnost zálohovat konfiguraci, zásady a forenzní data odděleně (vzdáleně).
- Schopnost integrace s řešeními, jako jsou SIEM, klasifikátory, cloudové služby a další.
- Možnost paralelního síťového provozu s běžnými bezpečnostními nástroji/nastaveními - segmentovaná síť (firewally), IDS/IPS, proxy server, použití VPN pro vzdálené připojení koncových bodů/uživatelů k interní síti.
Reference
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?