پیشگیری از نشت داده (Data Loss Prevention یا به اختصار DLP) به استراتژی‌ها، فرآیندها و فناوری‌هایی اشاره دارد. که تیم‌های امنیت سایبری از آن‌ها برای حفاظت از داده‌های حساس در برابر دزدیده شدن، از دست داده شدن و سوءاستفاده استفاده می‌کنند.

 

داده ها یک تمایز رقابتی برای بسیاری از کسب و کارها هستند و شبکه شرکتی متوسط مجموعه ای از اسرار تجاری، داده های شخصی مشتریان و سایر اطلاعات حساس را در خود جای داده است. هکرها این داده ها را برای منافع خود هدف قرار می دهند، اما سازمان ها اغلب برای خنثی کردن این مهاجمان تلاش می کنند. ایمن نگه‌داشتن داده‌های حیاتی دشوار است. در حالی که صدها، اگر نه هزاران کاربر مجاز، هر روز به آن‌ها در فضای ذخیره‌سازی ابری و مخازن داخلی دسترسی دارند.

استراتژی‌ها و ابزارهای DLP به سازمان‌ها کمک می‌کنند با ردیابی داده‌ها در سراسر شبکه و اجرای سیاست‌های امنیتی دقیق، از نشت و از دست رفتن داده‌ها جلوگیری کنند. به این ترتیب، تیم های امنیتی می توانند اطمینان حاصل کنند که فقط افراد مناسب می توانند به دلایل درست به داده های مناسب دسترسی داشته باشند.

انواع از دست دادن داده

رویدادهای از دست دادن داده به طور معمول به عنوان نفوذ به داده‌ها، نشت داده یا خروج داده توصیف می‌شوند. این اصطلاحات گاهی به صورت متقاطع استفاده می‌شوند اما معانی متمایزی دارند.

یک نفوذ به داده هر نوع حمله سایبری یا رویداد امنیتی دیگر است که در آن افراد غیرمجاز به داده‌های حساس یا اطلاعات محرمانه، از جمله اطلاعات شخصی (مانند شماره‌های تأمین اجتماعی، شماره حساب بانکی، اطلاعات سلامت) یا اطلاعات شرکتی (مانند سوابق مشتریان، مالکیت معنوی، اطلاعات مالی) دسترسی پیدا می‌کنند. طبق گزارش هزینه نفوذ به داده 2023 شرکت IBM، هزینه متوسط یک نفوذ به داده 4.45 میلیون دلار است، که نسبت به سه سال گذشته 15 درصد افزایش یافته است.

نشت داده انتشار تصادفی داده‌های حساس یا اطلاعات محرمانه به عموم عامه است. خروج داده وقتی رخ می‌دهد که حمله‌کننده داده‌های کسی را به دستگاهی که تحت کنترل او قرار دارد، منتقل یا کپی می‌کند.

 

چه عواملی باعث از دست رفتن داده می‌شوند؟

از دست رفتن داده به دلایل متعددی رخ می‌دهد، اما شاید اتفاقات رایجتر عبارتند از:

•  آسیب‌پذیری‌های امنیتی: ضعف‌ها یا نقص‌های موجود در ساختار، کد، یا پیاده‌سازی یک برنامه، دستگاه، شبکه، یا دارایی فناوری اطلاعات دیگر که هکرها می‌توانند از آنها بهره‌برند. این آسیب‌پذیری‌ها شامل خطاهای کدنویسی، تنظیمات نادرست، و آسیب‌پذیری‌های روز صفر (ضعف‌هایی که هنوز شناخته نشده‌اند یا برای آنها به روزرسانی انجام نشده است).

• اعتبارات ضعیف یا دزدیده‌شده: رمزعبورهایی که هکرها به راحتی می‌توانند حدس بزنند، یا رمزهای عبور یا اعتبارات دیگر (مانند کارت‌های شناسایی) که هکرها یا جرم‌آگاهان به سرقت ببرند.

• تهدیدات داخلی: کاربران مجازی که از طریق بی‌مبالاتی یا نیت بد اطلاعات را در معرض خطر قرار می‌دهند. افراد داخلی بدنه کاری اغلب به دنبال منافع شخصی یا ناراحتی از شرکت هستند.

• بدافزار: نرم‌افزارهایی که به صورت خاص برای آسیب‌رساندن به یک سیستم کامپیوتری یا کاربران آن ایجاد شده‌اند. معروف‌ترین نوع بدافزاری که به داده تهدید می‌کند، باج افزار (Ransomware) است که داده‌ها را رمزگذاری می‌کند تا نتوان به آنها دسترسی داشت و از مالک می‌خواهد که مبلغی به عنوان پاداش برای کلید رمزگشایی (و گاهی هم برای جلوگیری از خروج داده یا به اشتراک گذاری آن با دیگر جرم‌آگاهان) پرداخت کند.

• مهندسی اجتماعی: تاکتیک‌هایی که افراد را فریب می‌دهند تا اطلاعاتی را که نباید به اشتراک بگذارند، به اشتراک بگذارند. این می‌تواند به عنوان یک حمله فیشینگ که یک کارمند را متقاعد می‌کند که اطلاعات محرمانه را از ارسال ایمیل کند، یا به عنوان گذاشتن یک فلش‌مموری آلوده به بدافزار در مکانی که کسی پیدا کرده و آن را استفاده کند، بیشترین شکل‌ها را به خود می‌گیرد.

• سرقت دستگاه فیزیکی: سرقت یک لپتاپ، گوشی هوشمند یا دستگاه دیگر که دزد را به شبکه دسترسی می‌دهد. و اجازه دسترسی به داده را به دزد می‌دهد.

استراتژی‌ها و سیاست‌های پیشگیری از از دست رفتن داده

سازمان‌ها استراتژی‌های رسمی پیشگیری از از دست رفتن داده را ایجاد می‌کنند تا در برابر همه انواع از دست رفتن داده‌ها محافظت کنند. در اساس یک استراتژی پیشگیری از از دست رفتن داده (DLP) مجموعه‌ای از سیاست‌های DLP وجود دارد که تعیین می‌کنند که کاربران باید چگونه با داده‌های شرکتی برخورد کنند. سیاست‌های DLP شامل عملیات کلیدی امنیت داده مانند محل ذخیره سازی داده، کدام افراد به آن دسترسی دارند، چگونه از آن استفاده کنند و چگونه کنترل‌های امنیتی را پیرامون آن قرار دهند، می‌شوند.

به جای ایجاد یک سیاست واحد برای تمام داده‌ها، تیم‌های امنیت اطلاعات معمولاً برای انواع مختلف داده‌های موجود در شبکه‌های خود سیاست‌های مختلفی ایجاد می‌کنند. این به دلیل این است که انواع مختلف داده‌ها معمولاً نیاز به برخورد متفاوتی دارند.

به عنوان مثال، اطلاعات شناسایی شخصی مانند شماره کارت اعتباری و آدرس منزل معمولاً تحت مقررات امنیت داده قرار دارند که تعیین می‌کنند یک شرکت چه کاری با آنها می‌تواند انجام دهد. از سوی دیگر، شرکت دارای اختیارات آزادی در انجام کارهای مرتبط با دارایی معنوی (IP) خود است. علاوه بر این، افرادی که نیاز به دسترسی به اطلاعات شناسایی شخصی دارند ممکن است با افرادی که نیاز به دسترسی به IP شرکت دارند، یکسان نباشند. هر دو نوع داده باید محافظت شوند، اما به روش‌های مختلفی.

تیم‌های امنیت ایجاد سیاست‌های DLP چندگانه و دقیق می‌کنند تا بتوانند استانداردهای امنیتی مناسب را برای هر نوع داده اعمال کنند بدون اینکه به رفتار تأیید شده کاربران مجاز مداخله کنند. سازمان‌ها به طور منظم این سیاست‌ها را تجدید نظر می‌کنند تا با تغییرات مرتبط با مقررات مربوطه، شبکه شرکتی و عملیات کسب‌وکار هماهنگ باشند.

 

چرا راه‌حل‌های پیشگیری از از دست رفتن داده (DLP) اهمیت دارند؟

اجرای دستی سیاست‌های DLP ممکن است چالش‌برانگیز باشد، اگر چه امکان‌پذیر نباشد. نه تنها مجموعه‌های مختلفی از داده‌ها مشمول قوانین مختلف هستند، بلکه سازمان‌ها باید هر قطعه از داده را در سرتاسر شبکه نظارت کنند، شامل:

• داده در حال استفاده – داده‌هایی که در حال دسترسی یا پردازش هستند – مانند داده‌هایی که برای تحلیل یا محاسبات استفاده می‌شوند، یا یک سند متنی که توسط یک کاربر نهایی ویرایش می‌شود.
• داده در حرکت – داده‌هایی که از طریق شبکه جابجا می‌شوند، مانند داده‌هایی که توسط یک سرور جریان رویداد یا یک اپلیکیشن پیام‌رسانی انتقال داده می‌شود.
• داده در استراحت – داده‌هایی که در حالت ذخیره‌سازی قرار دارند، مانند داده‌هایی که در یک درایو ابری قرار دارند.

زیرا اجرای سیاست‌های DLP نیاز به دیدگاه مداوم به داده در سرتاسر سازمان دارد، تیم‌های امنیت اطلاعات معمولاً بر روی ابزارهای نرم‌افزاری مخصوص DLP تکیه می‌کنند تا اطمینان حاصل کنند که کاربران پیروی از سیاست‌های امنیت داده می‌کنند. این ابزارهای DLP می‌توانند وظایف کلیدی مانند شناسایی داده‌های حساس، ردیابی استفاده از آن و مسدود کردن دسترسی غیرمجاز را به صورت خودکار انجام دهند.

راه‌حل‌های DLP اغلب در همکاری با سایر کنترل‌های امنیتی به منظور حفاظت از داده‌ها عمل می‌کنند. به عنوان مثال، دیواره‌های آتشین می‌توانند به متوقف کردن ترافیک مخرب به وارد یا خارج شدن از شبکه کمک کنند. سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) ممکن است به شناسایی رفتارهای نامعمول که ممکن است به نشت داده اشاره کنند، کمک کنند. راه‌حل‌های تشخیص و پاسخ گسترده (XDR) به سازمان‌ها امکان پاسخ‌های محکم و خودکار به نفوذ به داده را فراهم می‌کنند.

 

انواع راه‌حل‌های پیشگیری از از دست رفتن داده (DLP)

سه نوع اصلی از راه‌حل‌های پیشگیری از از دست رفتن داده (DLP) وجود دارد: DLP شبکه، DLP انتها نقطه و DLP ابر. سازمان‌ها ممکن است تصمیم بگیرند که یک نوع راه‌حل را استفاده کنند. یا ترکیبی از چندین راه‌حل بر اساس نیازهای خود و نحوه ذخیره سازی داده‌های خود انتخاب کنند.

 

شبکه DLP

راه‌حل‌های DLP شبکه بر روی چگونگی جابجایی داده در داخل، به داخل و خارج از یک شبکه تمرکز دارند. آنها اغلب از هوش مصنوعی (AI) و یادگیری ماشین (Machine Learning) استفاده می‌کنند تا ترافیک نامعمولی را شناسایی کنند که ممکن است به نشت یا از دست رفتن داده اشاره کند. در حالی که ابزارهای DLP شبکه برای نظارت بر داده‌های در حرکت طراحی شده‌اند. بسیاری از آنها می‌توانند همچنین دیدگاهی به داده‌های در حال استفاده و در حال استراحت در شبکه ارائه دهند.

 

 

ابزارهای DLP انتها نقطه (Endpoint DLP) فعالیت‌ها را روی لپتاپ‌ها، سرورها، دستگاه‌های موبایل و دستگاه‌های دیگری که به شبکه دسترسی دارند، نظارت می‌کنند. این راه‌حل‌ها به طور مستقیم بر روی دستگاه‌هایی که نظارت می‌کنند نصب می‌شوند و می‌توانند کاربران را از انجام اقدامات غیرمجاز در این دستگاه‌ها بازدارند. برخی از ابزارهای DLP انتها نقطه همچنین می‌توانند انتقال داده‌های غیرمجاز بین دستگاه‌ها را متوقف کنند.

 

Cloud DLP

راه‌حل‌های DLP ابر بر روی داده‌های ذخیره شده در خدمات ابری و دسترسی به آنها تمرکز دارند. آنها می‌توانند داده‌ها را در مخازن ابری اسکن، دسته‌بندی کنند، نظارت کنند و آنها را رمزگذاری کنند. این ابزارها همچنین می‌توانند به اجرای سیاست‌های کنترل دسترسی بر روی کاربران نهایی و هر خدمت ابری که ممکن است به داده‌های شرکت دسترسی داشته باشد، کمک کنند.

 

 

 

چگونگی کمک راه‌حل‌های DLP به اجرای سیاست‌های DLP را توضیح می‌دهد.

تیم‌های امنیت در مراحل چهارگانه‌ای برای اجرای سیاست‌های DLP پیروی می‌کنند، و ابزارهای DLP در هر مرحله نقش مهمی ایفا می‌کنند.

 

شناسایی و دسته‌بندی داده

در ابتدا، سازمان تمام داده‌های ساختاری و بی‌ساختار خود را ثبت می‌کند. داده‌های ساختاری داده‌هایی با قالب استاندارد هستند. اغلب به صورت روشن مشخص شده و در پایگاه‌داده‌ها ذخیره می‌شوند. اعداد کارت اعتباری مثالی از داده‌های ساختاری هستند: همیشه ۱۶ رقمی هستند. داده‌های بی‌ساختار اطلاعات آزاد شکل هستند، مانند اسناد متنی یا تصاویر.

تیم‌های امنیت به طور معمول از ابزارهای DLP برای انجام این مرحله استفاده می‌کنند. این ابزارها معمولاً قادر به اسکن کامل شبکه هستند تا داده‌ها را در هرجایی که ذخیره شده‌اند، از جمله در ابر، در دستگاه‌های فیزیکی، در دستگاه‌های شخصی کارکنان و مکان‌های دیگر پیدا کنند.

سپس، سازمان این داده‌ها را دسته‌بندی می‌کند و بر اساس سطح حساسیت و ویژگی‌های مشترک، آنها را در گروه‌ها قرار می‌دهد. دسته‌بندی داده به سازمان امکان می‌دهد که سیاست‌های DLP مناسب را برای انواع داده‌ها منظور کند. به عنوان مثال، برخی سازمان‌ها ممکن است داده‌ها را بر اساس نوع دسته‌بندی کنند: داده‌های مالی، داده‌های بازاریابی، دارایی معنوی و غیره. سازمان‌های دیگر ممکن است داده‌ها را بر اساس مقررات مرتبط دسته‌بندی کنند، مانند مقررات عمومی حفاظت از داده (GDPR)، قانون قابلیت حمل و جابجایی بیمه و مسئولیت از حیث حریم خصوصی (HIPAA)، استاندارد امنیت داده‌های صنعت کارت‌های پرداخت (PCI DSS) و غیره.

بسیاری از راه‌حل‌های DLP قادر به اتوماسیون در دسته‌بندی داده‌ها هستند. این ابزارها می‌توانند از هوش مصنوعی، یادگیری ماشین و تطابق الگو برای تحلیل داده‌های ساختاری و بی‌ساختار استفاده کنند تا تشخیص دهند که داده چه نوعی است، آیا حساس است و چه سیاست‌های DLP باید به آن اعمال شود.

 

نظارت بر داده‌ها

بعد از دسته‌بندی داده‌ها، تیم امنیت نظارت می‌کند که چگونه با آنها برخورد می‌شود. ابزارهای DLP می‌توانند از چندین تکنیک برای شناسایی و ردگیری داده‌های حساس در حال استفاده استفاده کنند. این تکنیک‌ها شامل موارد زیر می‌شود:

• مطابقت داده، مانند مقایسه محتوای فایل با داده‌های حساس شناخته شده.
• مطابقت الگو، مانند جستجوی داده‌هایی که یک فرمت خاص را دنبال می‌کنند – به عنوان مثال، یک شماره نه رقمی با فرمت XXX-XX-XXXX ممکن است یک شماره تأمین اجتماعی باشد.
• تجزیه و تحلیل محتوا، مانند استفاده از هوش مصنوعی و یادگیری ماشین برای تجزیه و تحلیل پیام ایمیل به دنبال اطلاعات محرمانه.
• شناسایی برچسب‌ها، برچسب‌ها و متادیتاهای دیگر که به صراحت یک فایل را به عنوان حساس مشخص می‌کنند.

وقتی یک ابزار DLP داده‌های حساس در حال دسترسی را پیدا می‌کند، به دنبال نقض‌های سیاست، رفتار غیرمعمول، آسیب‌پذیری‌های سیستم و نشانه‌های دیگر از از دست رفتن داده‌های ممکن می‌گردد، شامل:

• نشت داده، مانند تلاش یک کاربر برای به اشتراک گذاری یک فایل محرمانه با کسی خارج از سازمان.
• کاربران غیرمجازی که تلاش می‌کنند به داده‌های مهم دسترسی پیدا کنند یا اقدامات غیرمجازی مثل ویرایش، پاک کردن یا کپی کردن یک فایل حساس انجام دهند.
• امضاهای مالور، ترافیک از دستگاه‌های ناشناخته یا نشانه‌های دیگر از فعالیت مخرب.

 

اعمال حفاظت‌های داده

وقتی راه‌حل‌های DLP نقض‌های سیاست را شناسایی می‌کنند، می‌توانند با تلاش‌های ترمیمی در زمان واقعی پاسخ دهند. مثال‌هایی از این تلاش‌ها عبارتند از:

• رمزگذاری داده در حین جابجایی از طریق شبکه
• قطع انتقال‌های داده غیرمجاز و مسدود کردن ترافیک مخرب
• هشدار به کاربران که در حال نقض سیاست‌ها هستند
• نشان دادن رفتار مشکوک برای تیم امنیتی برای بررسی
• ایجاد چالش‌های تأیید هویت اضافی قبل از اینکه کاربران بتوانند با داده‌های مهم تعامل کنند

بعضی از ابزارهای DLP همچنین با بازیابی داده‌ها کمک می‌کنند و به صورت خودکار اطلاعات را پشتیبان‌گیری می‌کنند تا بتوانند بعد از از دست رفتن داده‌ها بازیابی شوند.

سازمان‌ها می‌توانند اقدامات فعال‌تری را برای اجرای سیاست‌های DLP نیز انجام دهند. مدیریت هویت و دسترسی مؤثر (IAM) که شامل سیاست‌های کنترل دسترسی مبتنی بر نقش است، می‌تواند دسترسی به داده را به افراد مناسب محدود کند. آموزش کارکنان در مورد الزامات امنیت داده و بهترین روش‌ها می‌تواند کمک کند تا از از دست رفتن و نشت داده‌های تصادفی بیشتری پیش از وقوع آنها جلوگیری شود.