Data loss prevention

Da Wikipedia, l'enciclopedia libera.

Data Loss Prevention (DLP) è un termine di sicurezza informatica che fa riferimento a tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete), e dati a riposo (ad esempio la memorizzazione dei dati) all'interno o all'esterno dell'azienda, con il fine di individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate. La perdita dei dati può essere causata sia da attacchi informatici che da errori involontari che possono rendere disponibili dati sensibili. Con dati sensibili si intendono tutte quelle informazioni (sia di privati che di aziende) che riguardano la proprietà intellettuale, informazioni finanziarie o brevetti, dati di carte di credito o altri tipi di dati importanti per aziende o singoli individui.

I termini "perdita di dati" (data loss) e "fuga di dati" (data leak) sono strettamente collegati e sono spesso usati come sinonimi, anche se c'è una piccola differenza tra i due termini. Si parla di perdita di dati nel caso in cui informazioni sensibili vengano effettivamente persi da un'azienda (o in qualche modo resi inaccessibili). Con fuga di dati si intende, invece, l'acquisizione, da parte di un terzo non autorizzato, di questi dati sensibili. In ogni caso la fuga di dati è possibile anche senza la perdita dei dati da parte dell'azienda originaria. Alcuni altri termini associati con la prevenzione della fuga di dati sono: rilevamento perdita di informazioni e prevenzione (ILDP), prevenzione perdita di informazioni (ILP), monitoraggio dei contenuti e filtraggio (CMF), protezione delle informazioni e controllo (IPC), sistema di prevenzione di estrusione (EPS),e il suo contrario: sistema di prevenzione delle intrusioni.

Categorie DLP[modifica | modifica wikitesto]

Per prevenire o gestire gli incidenti riguardanti la perdita dei dati si utilizzano diversi mezzi tecnologici divisi in queste categorie: misure standard di sicurezza, misure di sicurezza avanzate / intelligenti, controllo degli accessi e di crittografia, e sistemi DLP designati. [1]

Misure di sicurezza standard[modifica | modifica wikitesto]

Le misure di sicurezza standard, come firewall, sistemi di rilevamento delle intrusioni (IDS), e antivirus, sono meccanismi comunemente disponibili che proteggono i computer da estranei e da attacchi interni. L'uso di firewall, per esempio, limita l'accesso di estranei alla rete interna, e un sistema di rilevamento delle intrusioni rileva i tentativi di intrusione da parte di estranei. Gli attacchi interni possono essere evitati attraverso scansioni antivirus in grado di rilevare i Trojan installati sui PC che inviano informazioni riservate, e con l'uso di thin client, che operano in una architettura client-server senza dati personali o sensibili memorizzati sul computer di un client.

Misure di sicurezza avanzate[modifica | modifica wikitesto]

Le misure di sicurezza avanzate, invece, fanno uso di algoritmi di apprendiemnto automantico e di ragionamento temporale per il rivelamento di accessi insoliti ai dati (ad esempio, database o sistemi di recupero) o scambio insolito di email, honeypot per la rilevazione di personale autorizzato con cattive intenzioni, e la verifica per attività (ad esempio, il riconoscimento di combinazione di tasti). Possono essere usati, inoltre, utenti di monitoraggio attivi per rilevare anomalie nell'accesso ai dati.

Soluzioni DLP designate[modifica | modifica wikitesto]

Soluzioni DLP designate sono utli per individuare e prevenire tentativi non autorizzati di copiare o inviare dati sensibili, intenzionalmente o meno, senza autorizzazione, soprattutto da parte di personale che possiede autorizzati e privilegi per accedere alle informazioni sensibili. Queste soluzioni utilizzano diversi metodi per classificare le informazioni sensibili. Alcuni di questi metodi possono essere la corrispondenza esatta dei dati, i metodi statistici, le regole e corrispondenze delle espressioni regolari, le definizioni concettuali, e l'utilizzo di parole chiave.[2]

Tipi di sistemi DLP[modifica | modifica wikitesto]

Network DLP (data in movimento <DiM>)[modifica | modifica wikitesto]

Esso è tipicamente un software o una soluzione hardware che viene installata all'uscita di rete in punti vicino al perimetro. Vene sfruttata per analizzare il traffico di rete e per rilevare i dati sensibili che potrebbero essere inviati violando la politiche di sicurezza. Le soluzioni DLP Network hanno più punti di controllo che tengono traccia dei dati per essere analizzati da un server di gestione centrale.[1]

Endpoint DLP (dati in uso <DiU>)[modifica | modifica wikitesto]

Tali sistemi vengono eseguiti su una workstation degli utenti finali o sul server dell'organizzazione. Come i sistemi basati sulla rete, i sistemi basati sugli endpoint possono indirizzare le comunicazioni interne ed esterne, e possono quindi essere utilizzati per controllare il flusso di informazioni tra gruppi o tipi di utenti (per esempio il Modello Brewer e Nash). Essi possono anche controllare le comunicazioni tramite e-mail e Messaggistica_istantanea prima che queste vengano inserite nell'archivio aziendale, in modo da poter bloccare una comunicazione (se un messaggio non viene inviato, esso non è soggetto a regole di conservazione). I sistemi endpoint hanno il vantaggio di poter monitorare e controllare l'accesso ai dispositivi fisici (come ad esempio i dispositivi mobili con capacità di memorizzazione dei dati) e, in alcuni casi, possono accedere alle informazioni prima che queste vengano criptate. I sistemi basati su endpoint possono anche fornire controlli applicativi per bloccare le trasmissioni che tentano di inviare informazioni riservate, e forniscono un feedback immediato per l'utente. Hanno lo svantaggio che hanno bisogno di essere installate su ogni workstation nella rete, e non possono essere utilizzato su dispositivi mobili (ad esempio, telefoni cellulari e PDA) o dove non possono essere fisicamente installati (ad esempio su una workstation in un internet caffè).

Identificazione dei dati[modifica | modifica wikitesto]

Le soluzioni DLP includono una serie di tecniche per l'identificazione di informazioni riservate o sensibili. A volte confusa con la scoperta, l'identificazione dei dati è un processo mediante il quale le organizzazioni utilizzano una tecnologia DLP per determinare che cosa cercare (in movimento, a riposo, o in uso).

I dati vengono classificati come strutturati o non strutturati. I dati strutturati risiedono in campi fissi all'interno di un file, come un foglio di calcolo, mentre i dati non strutturati si riferiscono alla forma libera testo in documenti di testo o file PDF. [3] Si stima che circa l'80% di tutti i dati non strutturati e il 20% strutturato. [4] La classificazione dei dati è divisa in analisi del contenuto, concentrata sui dati strutturati, e le analisi contestuale, che guarda il luogo di origine o l'applicazione o il sistema che ha generato i dati.[5]

Ci sono due principali categorie di metodi per descrivere i contenuti sensibili: metodi precisi e metodi imprecisi.

I metodi precisi sono, per definizione, quelle che coinvolgono contenuti registrati e non innescano gli incidenti del tipo falso positivo.

Tutti gli altri metodi sono imprecisi e possono includere: parole chiave, lessici, le espressioni regolari, tag di meta dati, analisi statistiche (come l'apprendimento automatico).

Più potente è un motore di analisi più esso è preciso e accurato. La precisione di identificazione DLP è importante per ridurre ed evitare falsi positivi e negativi. Essa dipende da molti fattori, alcuni dei quali possono essere situazionali o basati sulla tecnologia. Il test della precisione è fortemente raccomandato al fine di garantire una soluzione praticamente libera dai falsi positivi / negativi. Nel caso in cui ci siano alti tassi di falsi positivi renderà il sistema DLD non DLP.

Rilevamento fuga di dati[modifica | modifica wikitesto]

Dati sensibili possono essere inviati a terzi tramite un distributore di dati sensibili. Appena viene riscontrato che un qualche dato importante si trova in un luogo non autorizzato (ad esempio, sul web o sul computer portatile di un utente), il distributore deve verificare se i dati trovati sono stati trapelati da uno o più terzi, o se sono dati che sono stati raccolti indipendente da altri mezzi.[6]

Dati a riposo[modifica | modifica wikitesto]

Con dati a riposo ci si riferisce alle informazioni archiviate memorizzate su un disco rigido di un client, su un'unità di archiviazione di rete o server remoto, o anche ai dati memorizzati su un sistema di backup, come nastri e cd. Queste informazioni sono di grande importanza per le imprese e le istituzioni di governo, semplicemente perché più un dato rimane inutilizzato in un deposito, più è probabile che possa essere recuperato da persone non autorizzate fuori dalla rete.[7] Per proteggere questo tipo di dato, i sistemi utilizzano metodi come il controllo degli accessi e la crittografia dei dati stessi.[1]

Dati in uso[modifica | modifica wikitesto]

I dati in uso sono quei particolari dati attivi memorizzati nel database con cui un utente sta interagendo. I sistemi DLP che proteggono i dati in uso potrebbero monitorare e segnalare determinate attività non autorizzate.[1] Tra queste attività è presente la cattura dello schermo, il copia/incolla, la stampa e fax che coinvolgono dati sensibili. Si cerca di evitare la trasmissione volontaria o non intenzionale di dati sensibili attraverso canali di comunicazione come IM o siti web.[8]

Dati in movimento[modifica | modifica wikitesto]

Sono chiamanti dati in movimento i dati che stanno attraversando attraverso una rete verso una destinazione finale. Queste reti possono essere interne o esterne. I sistemi DLP che proteggono i dati in movimento controllano i dati sensibili che vengono inviati attraverso una rete attraverso vari canali di comunicazione come email o IM.[1]

Collegamenti esterni[modifica | modifica wikitesto]