O que é Cloud DLP (prevenção contra perda de dados)?

Por que a Cloud DLP é importante?

Quando as informações sigilosas eram impressas em papel, um simples arquivo trancado bastava para prevenir perdas. Agora, os dados circulam entre data centers, provedores de nuvem e dispositivos de terminal, potencialmente sujeitos a inúmeras vulnerabilidades ao longo do caminho. Para proteger os dados contra acesso não autorizado, você precisa implementar uma estratégia abrangente de prevenção contra perda de dados (DLP).

Sua estratégia de DLP deve reunir seus líderes de negócios e de TI para identificar o que constitui “dados sigilosos” para sua organização, chegar a um acordo sobre como esses dados devem ser usados e delinear o que representa uma violação. Essas diretrizes de segurança da informação, incluindo classificação de dados, privacidade de dados e informações de conformidade, além de procedimentos de remediação, podem então ser traduzidas em políticas de DLP.

Vários padrões de conformidade (por exemplo, RGPD, HIPAA, PCI DSS) podem exigir que sua organização implante a DLP para evitar multas ou restrições às suas operações, mas as violações de dados também podem expor os dados pessoais dos usuários finais, colocando sua organização em risco de perder clientes, incorrer em danos à marca ou enfrentar consequências legais. Com uma política de DLP bem definida e o apoio de uma tecnologia de suporte bem gerenciada, você pode reduzir significativamente esses riscos.

Benefícios da prevenção contra perda de dados na nuvem

A DLP baseada na nuvem oferece diversas vantagens para qualquer organização, fornecendo:

• Fácil capacidade de dimensionamento para atender às necessidades de volumes crescentes de dados e ecossistemas de informação em constante mudança
• Custos de infraestrutura mais baixos devido à eliminação de hardware local e despesas de modernização/manutenção relacionadas
• Proteção para usuários e filiais em qualquer lugar, sem a necessidade de retornar o tráfego para o seu data center
• Implantação e configuração mais rápidas do que a DLP local, sem caixas para gerenciar
• Atualizações automáticas da nuvem, fornecendo as informações mais recentes e novos recursos sem tempo de inatividade

Técnicas de prevenção contra perda de dados na nuvem

Em termos mais simples, a tecnologia de DLP, incluindo a DLP baseada na nuvem, funciona identificando dados sigilosos que precisam de proteção e, em seguida, protegendo-os. Uma solução de DLP pode ser projetada para identificar dados em uso, dados em trânsito ou dados em repouso (ou qualquer combinação deles) e determinar se são sigilosos. Para fazer isso, os agentes de DLP podem usar muitas técnicas diferentes, como:

• Correspondência baseada em regras ou “expressões regulares”: esta técnica identifica dados sigilosos com base em regras pré-escritas (por exemplo, números de 16 dígitos geralmente são números de cartão de crédito). Devido à elevada taxa de falsos positivos, a correspondência baseada em regras é muitas vezes apenas uma primeira passagem antes de uma inspeção mais profunda.
• Correspondência exata de dados (impressão digital do banco de dados): esta técnica identifica dados que correspondem exatamente a outros dados sigilosos já identificados, geralmente de um banco de dados fornecido.
• Correspondência exata de arquivos: essa técnica funciona essencialmente como uma correspondência exata de dados, mas identificando hashes de arquivos correspondentes sem analisar o conteúdo do arquivo.
• Correspondência parcial de documentos: esta técnica identifica dados sigilosos correspondendo-os a padrões ou modelos estabelecidos (por exemplo, o formato de um formulário padrão de paciente em uma unidade de atendimento de urgência).
• Aprendizado de máquina, análise estatística etc.: esse conjunto de técnicas depende do cadastramento de um grande volume de dados em um modelo de aprendizado para “treiná-lo” a reconhecer quando uma determinada sequência de dados tem probabilidade de ser uma informação sigilosa. Isso é especialmente útil para identificar dados não estruturados.
• Regras personalizadas: muitas empresas têm tipos de dados específicos que devem ser identificados e protegidos, e a maioria das soluções de DLP modernas permite construir regras próprias para funcionar em conjunto com as demais.

Depois que os dados sigilosos forem identificados, cabe à sua política de DLP determinar como serão protegidos. Por sua vez, a forma como você os protege tem muito a ver com o motivo pelo qual você deseja protegê-los.

Principais casos de uso para Cloud DLP

Como já abordamos, a proteção de dados sigilosos protege sua organização contra outras formas de perda – de clientes, de receita, de reputação – e ajuda você a cumprir as regulamentações legais e do setor. Naturalmente, proteger esses dados exige a capacidade de identificar o que são e onde estão, o que constitui outro caso de uso importante: a visibilidade dos dados.

Resumindo, então, os principais casos de uso de uma solução de DLP são:

• Proteja dados sigilosos em trânsito e em repouso: a DLP protege os dados à medida que eles transitam ou são armazenados em vários terminais, redes e nuvens, fornecendo criptografia, aplicando controles de acesso e monitorando atividades suspeitas.
• Mantenha-se em conformidade com as regulamentações: as políticas e tecnologias de DLP ajudam você a aplicar controles de acesso, monitorar o uso e realizar auditorias para garantir que você lide com dados sigilosos em alinhamento com regulamentações como RGPD, HIPAA e PCI DSS.
• Obtenha visibilidade dos seus dados: a DLP fornece visibilidade dos dados – conhecimento sobre onde as informações sigilosas residem e transitam, quem tem acesso e como elas são usadas – para ajudá-lo a identificar vulnerabilidades, detectar atividades de risco e, por fim, corrigir e impedir violações de dados.

Cinco tipos de soluções de Cloud DLP

Como nenhuma tecnologia pode cobrir todos os casos de uso ou considerar todas as maneiras pelas quais os dados podem ser perdidos, os atuais produtos de proteção de dados eficazes integram diversas funções. Vejamos algumas das tecnologias de Cloud DLP mais comuns e cruciais.

1. Os agentes de segurança de acesso à nuvem (CASBs) monitoram e controlam a atividade do usuário e as transferências de dados entre terminais e aplicativos na nuvem, aplicando políticas de segurança para evitar acessos não autorizados, vazamentos de dados e violações de conformidade. O CASB oferece visibilidade sobre o comportamento do usuário, o uso de aplicativos e o armazenamento de dados em ambientes na nuvem.
2. O software de DLP protege dados sigilosos contra vazamento de dados em terminais, e-mail, serviços na nuvem e outros canais. Ao monitorar dados e aplicar políticas em tempo real, o software de DLP identifica e evita possíveis violações.
3. A análise de comportamento de usuários e entidades (UEBA) monitora, analisa e correlaciona o comportamento do usuário, padrões de acesso, eventos do sistema e mais para detectar anomalias e possíveis ameaças, como ameaças internas maliciosas, contas comprometidas e movimentação lateral.
4. O gerenciamento de postura de segurança de SaaS (SSPM) ajuda as organizações a avaliar e gerenciar configurações de segurança, permissões e vulnerabilidades em diferentes aplicativos SaaS para resolver falhas de segurança e mitigar riscos associados à exposição de dados e acesso não autorizado.
5. O isolamento do navegador executa o conteúdo web em um ambiente seguro, evitando que conteúdo web potencialmente malicioso (por exemplo, downloads drive-by, malware, phishing) acesse diretamente ou afete o terminal, a rede ou os dados sigilosos do usuário.

Correspondência exata de dados para Cloud DLP

As soluções de prevenção contra perda de dados há muito usam a correspondência de padrões para identificar números de cartão de crédito, números de Seguro Social e mais. No entanto, esta técnica é imprecisa. O tráfego seguro ainda pode ser bloqueado simplesmente porque inclui um padrão selecionado para proteção, bombardeando as equipes de segurança com falsos positivos.

A correspondência exata de dados (EDM) é uma poderosa inovação na tecnologia de DLP, que aumenta a precisão da detecção e praticamente elimina os falsos positivos. Em vez de combinar padrões, a EDM identifica a “impressão digital” dos dados sensíveis e, depois, observa as tentativas de mover esses dados para impedir que eles sejam compartilhados ou transferidos de forma indevida.

Práticas recomendadas de Cloud DLP

A estratégia de DLP perfeita depende dos dados e das necessidades da sua organização. Portanto, as práticas recomendadas variam, mas isso é assunto para um artigo inteiro. Aqui, veremos algumas práticas recomendadas mais gerais de DLP que se aplicam a qualquer situação:

• Comece no modo somente monitoramento ao implantar pela primeira vez para ter uma noção do fluxo de dados em sua organização e identificar as melhores políticas.
• Mantenha os funcionários informados com notificações para que as políticas não sejam executadas sem o seu conhecimento, pois isso pode atrapalhar os fluxos de trabalho e frustrá-los.
• Garanta que seus usuários possam enviar comentários sobre as notificações (para justificar suas ações ou sinalizar políticas inadequadas), que você pode usar para refinar suas políticas.
• Aproveite medidas de classificação avançadas como EDM para reduzir falsos positivos.
• Use uma solução que possa descriptografar tráfego criptografado em TLS/SSL, já que a grande maioria do tráfego web agora é criptografada.

Começar com a Zscaler Cloud Data Loss Prevention

Com riscos crescentes e regulamentações em expansão para a proteção de dados, sua organização precisa eliminar falhas de segurança criadas pela nuvem e pela mobilidade, sejam elas decorrentes de vulnerabilidades ou de erros de configuração.

No passado, isso significaria adicionar mais aparelhos a pilhas já complexas. Hoje, existe a Zscaler Data Loss Prevention, 100% disponibilizada na nuvem, parte do pacote Zscaler Data Protection. A Zscaler DLP permite eliminar falhas de proteção de dados, não importa onde seus usuários ou aplicativos estejam, ao mesmo tempo que reduz os custos e a complexidade da TI.

A Zscaler DLP fornece:

• Proteção idêntica para usuários e dados em qualquer lugar
• Proteção na internet, terminal, e-mail, SaaS, aplicativos privados e postura na nuvem
• Inspeção TLS/SSL dimensionável da maior nuvem de segurança integrada do mundo
• Fluxos de trabalho e operações simplificados com descoberta de dados inovadora baseada em ML

Data Visibility: The Foundation of Effective Cloud DLP

DLP can’t prevent data loss if it’s blind to traffic. This is crucial as organizations continue to move more and more data in the cloud, where three key challenges leave traditional network-based DLP unable to see the traffic it’s supposed to inspect:

• Remote users: With network DLP, the levels of visibility and protection depend on where users are. They can easily bypass inspection when off-network, connecting directly to cloud apps. Effective DLP and security policies must follow users wherever they connect, and on whatever devices they may be using.
• Encryption: The incredible growth of TLS/SSL-encrypted traffic has created a significant blind spot for network-based DLP incapable of decrypting it for inspection.
• Performance limitations: Appliance-based DLP solutions have finite resources that constrain them from scaling effectively to inspect the constantly growing amount of internet traffic inline.

Why Cloud DLP Is Critical for the Modern Cloud and Mobile-First Enterprise

To address the data protection challenges that accompany digital transformation and overcome the weaknesses of traditional enterprise DLP, you need a new mindset and new technology. Reconfiguring a traditional hardware stack for the cloud isn’t enough—it's inefficient and lacks the protection and services of a cloud-built DLP solution, including:

• Identical protection for all users on- or off-network, ensuring comprehensive data protection for all users, wherever they are—at HQ, a branch, an airport, or a home office.
• Native inspection of TLS/SSL-encrypted traffic, giving the organization crucial visibility into the traffic where more than 85% of today’s attacks hide.
• Elastic scalability for inline inspection, preventing data loss by inspecting all traffic as it comes and quarantining.

Cloud DLP Best Practices

The perfect DLP strategy depends on your organization’s data and its needs, so the best practices will vary—but that’s a subject for an entire article. Here, we’ll look at some broader DLP best practices that apply in any situation:

• Start in monitor-only mode when you first deploy to get a sense of the data flow across your organization to inform you on the best policies.
• Keep employees in the loop with user notifications so that policies aren't executed without their knowledge, as this can disrupt workflows and frustrate them.
• Ensure your users can submit feedback on notifications (to justify their actions or flag broken policies), which you can use to refine your policies.
• Leverage advanced classification measures like EDM to reduce false positives.

Get Started with Zscaler Cloud Data Loss Prevention

100% cloud-delivered Zscaler Data Loss Prevention, part of Zscaler Data Security. Zscaler DLP empowers you to close your data protection gaps no matter where your users or applications are—while simultaneously reducing IT cost and complexity.

Zscaler DLP provides:

• Identical protection for users and data anywhere
• Protection across internet, endpoint, email, SaaS, private apps, and cloud posture
• Scalable TLS/SSL inspection from the world’s largest inline security cloud
• Streamlined workflows and operations with innovative ML-powered data discovery

Ready to see how Zscaler DLP can safeguard your organization? Request a demo today!