- تماس با ما
- ۰۲۱-۸۲۸۰۵۹۱۱
- ۰۲۱-۹۱۳۰۰۴۷۶
- info@arka.ir
چگونه کشف پرسرعت DLP را بهینه کنیم؟
9 پیشبینی Symantec در حوزه امنیت سایبری برای سال 2025
20/01/2025
وبینار معرفی Safetica DLP
01/02/2025
تامین هوشمندانهتر، اسکن سریعتر و حفظ تطابق با گزارشهای داخلی
مدیریت مجموعه دادههای گسترده در یک بازه زمانی محدود به دقت و سرعت بالا نیاز دارد. اما برای رعایت مداوم آخرین مقررات، باید مخازن دادههای گسترده، که اغلب پر از فایلهای ایستا هستند، به طور منظم اسکن شوند. برای دستیابی به کشف دقیق و پرسرعت، باید بدانید چگونه تنظیمات صحیح را بهینهسازی کنید.
مدیران پیشگیری از نشت داده (DLP) که وظیفه راهاندازی یک سیستم کشف پرسرعت (HSD) را دارند، ممکن است در یکی از این سه حالت قرار بگیرند:
- تازهکار در HSD: برای اولین بار در حال بررسی یا پیادهسازی این راهحل هستید.
- رسیدن به سرعتهای مطلوب اسکن: خوشه HSD تامین شده و عملکرد اسکن مورد انتظار را ارائه میدهد، اما مطمئن نیستید آیا بیش از حد تامین شده و میتوان آن را کاهش داد یا نه.
- نرسیدن به سرعتهای مطلوب اسکن: خوشه HSD تامین شده، اما عملکرد ضعیفی دارد.
صرف نظر از اینکه در کدام دسته قرار میگیرید، راهحل HSD شرکت Symantec به همه این سناریوها پاسخ میدهد.
اطمینان از موفقیت در اسکن سریع
این پیشرفت در اسکن دادههای ثابت که با Symantec DLP نسخه 16 معرفی شده، طراحی شده است تا سرعتی برابر با 1 ترابایت در ساعت یا بیشتر ارائه دهد. با این حال، تامین این راهحل تنها اولین گام است – بهینهسازی به همان اندازه اهمیت دارد. با استفاده از بینشهای گزارش جزئیات اسکن، مدیران میتوانند استراتژیهای حفاظت از دادههای خود را اصلاح کرده و از تمام قابلیتهای اسکن سریع بهرهمند شوند.
اجزای اصلی راهحل HSD
به زبان ساده، یک راهحل HSD شامل یک گره داده (Data Node) و یک یا چند گره کارگر (Worker Node) است که برای اسکن حجم زیادی از دادهها طراحی شدهاند. اما عوامل مختلفی میتوانند بر توان اسکن تاثیر بگذارند.
عواملی که بر توان اسکن تاثیر میگذارند:
- سرعت شبکه
- بار مخزن
- نوع داده
- پیچیدگی سیاستها
- مشخصات سختافزار
- عملکرد ورودی/خروجی دیسک
درک نحوه تاثیر این عوامل بر توان اسکن به شما کمک میکند اندازه یک خوشه کشف شبکه را برای مخزن داده خود به درستی تعیین کنید. گزارش جزئیات اسکن که توسط اسکن HSD ایجاد میشود، بینشهای ارزشمندی را درباره این شاخصهای کلیدی ارائه میدهد که میتواند به شما در تنظیمات بهینه کمک کند.
چه بینشهایی میتوان از گزارش جزئیات اسکن دریافت کرد؟
اسکنهای Network Discover در چهار مرحله برای شناسایی و رفع دادههای حساس انجام میشوند:
- خزش (Crawling): یافتن دادهها در مخزن.
- دریافت محتوا (Content Fetching): بازیابی دادهها برای تحلیل.
- تشخیص (Detection): شناسایی اطلاعات حساس بر اساس سیاستهای تعریفشده.
- رفع مشکل (Remediation): انجام اقدامات اصلاحی بر اساس نتایج اسکن.
گزارش قابل دانلود جزئیات اسکن (Scan Details) اطلاعات خاصی از هر مرحله را ارائه میدهد که عملکرد و سلامت آن را نشان میدهد.
با این حال، برای شناسایی مناطقی که نیاز به تنظیم دارند، نیازی نیست تمام پارامترها را بهطور کامل درک کنید. بخش Cluster Metrics این گزارش، با ارائه بینشهای قابل اجرا در مورد استفاده از منابع خوشه، کار را سادهتر میکند. هر ورودی در جدول Cluster Metrics نشاندهنده دادههای تجمعی جمعآوریشده در یک بازه زمانی 3 دقیقهای است و شامل مجموعهای از شاخصها است که میتوان از آنها برای اتخاذ اقدامات صحیح جهت دستیابی به تعادل استفاده کرد.
انجام اقدامات مبتنی بر داده با استفاده از Cluster Metrics
به خاطر داشته باشید که اسکن شما باید به مدت زمان منطقی اجرا شود تا دادههای معناداری برای تحلیل جمعآوری شود. در ادامه، دو نتیجه متداول گزارش Cluster Metrics را بررسی میکنیم که نیازمند اقدام از سوی مدیران است:
سناریو A: تجمع در صف تشخیص (Detection Queue Backlog) یا زمان انتظار تشخیص (ms) نشاندهنده تعداد یا زمان انتظار بالاتری باشد.
این پارامترها میتوانند نشان دهند که آیا یک خوشه کمتامین یا بیشتامین شده است.
- تجمع زیاد آیتمهای پردازشنشده در صف تشخیص یا زمان انتظار بالای تشخیص نشان میدهد که افزودن گرههای کارگر (WN) میتواند توان اسکن را افزایش دهد.
- در مقابل، تعداد کم یا تقریباً صفر آیتمها یا زمان انتظار بسیار پایین در صف تشخیص به طور مداوم ممکن است نشاندهنده بیشتامین بودن خوشه باشد و امکان کاهش تعداد گرههای کارگر را فراهم کند.
سرعت دریافت محتوا (Content Fetching Speed)
این پارامتر به نرخ دانلود فایلها از مخزن هدف در هر ثانیه اشاره دارد و اندازه دانلود تجمعی برای یک خوشه Network Discover در تمام گرههای کارگر را نشان میدهد.
- بایتهای دانلود شده (Bytes Downloaded) نشاندهنده مجموع بایتهای دانلودشده از مخزن هدف در یک لحظه خاص است.
اگر گزارش Cluster Metrics شما نشاندهنده سرعتهای پایینتر دریافت محتوا و/یا تعداد کم بایتهای دانلودشده به طور مداوم باشد، این موضوع میتواند نشاندهنده نیاز به تحلیل بیشتر مخزن هدف یا پهنای باند شبکه برای رفع کندی احتمالی باشد.
این رویکرد چگونه در دنیای واقعی عمل میکند؟
به عنوان مثال، یک خوشه Discover را با 10 گره کارگر (WN) در نظر بگیرید. مدیران DLP میتوانند با بررسی بینشهای پارامتری، تصمیمات آگاهانهای بگیرند و از قابلیتهای استقرار به طور کامل استفاده کنند.
- اگر سرعت دریافت محتوا کند باشد و مخزن به حداکثر ظرفیت خود رسیده باشد – به گونهای که افزودن گرههای بیشتر مؤثر نباشد – و میانگین استفاده از CPU هر گره کارگر حدود 30٪ باشد، کاهش تعداد گرههای کارگر به نصف ممکن است مفید باشد.
- این تغییر احتمالاً باعث افزایش استفاده از CPU به حدود 60٪ در هر گره کارگر خواهد شد. از اینجا، مدیران میتوانند تعداد گرههای کارگر را به صورت تدریجی تنظیم کرده و در عین حال سایر عوامل را نیز نظارت کنند.
رویکرد مبتنی بر داده
این استراتژی مبتنی بر داده به سازمانها کمک میکند تا سرمایهگذاریهای خود در DLP را بهینه کرده و از سختافزارهای استقرار یافته بیشترین بهره را ببرند. اما موفقیت به تنظیمات اولیه وابسته است. همانند بسیاری از ابزارها، پیکربندی نادرست ممکن است منجر به افزایش هزینههای سختافزاری بدون بهبود عملکرد شود. علاوه بر این، نتایج توان اسکن ممکن است بر اساس محیط و عوامل دیگر متفاوت باشد.
بنابراین، راهنماییهای بالا نقطه شروعی برای تفسیر گزارش و تنظیم محیط DLP ارائه میدهند. این شاخصها متناسب با اجرای خاص و محیط مورد نظر هستند و راهحلهای پیشنهادی ممکن است بسته به نوع محتوا یا محیط/خوشه DLP متفاوت باشند.
