Che cos'è la Cloud DLP (prevenzione della perdita dei dati)?

Perché la Cloud DLP è essenziale per le aziende moderne

In passato, quando le informazioni sensibili venivano stampate su carta, prevenire le fughe di dati poteva essere molto semplice, ad esempio con uno schedario chiuso a chiave. Ma oggi i dati si muovono tra data center, fornitori di servizi cloud e dispositivi endpoint e, lungo il percorso, sono potenzialmente esposti a una miriade di vulnerabilità. Per proteggerli dagli accessi non autorizzati, è necessario implementare una strategia completa di prevenzione della perdita dei dati (DLP).

Una strategia di DLP dovrebbe riunire i leader aziendali e i responsabili dell'IT per identificare tutti i dati che sono considerati "sensibili" dall'organizzazione, concordarne quindi l'utilizzo e delineare le caratteristiche di una violazione. Queste linee guida per la sicurezza delle informazioni, che includono la classificazione dei dati, le informazioni sulla privacy dei dati e sulla conformità e le procedure di correzione, possono tradursi nella policy di DLP.

Vari standard di conformità (ad esempio RGPD, HIPAA, PCI DSS) potrebbero richiedere alle organizzazioni di implementare la DLP per evitare sanzioni o restrizioni dell'operatività; le aziende devono inoltre guardarsi dalle violazioni dei dati che possono esporre i dati personali degli utenti finali e che potrebbero dare origine a perdita di clienti, danni al marchio o conseguenze legali. Con una policy di DLP ben definita e una tecnologia di supporto ben gestita, è possibile ridurre significativamente tutti questi rischi.

Comprendere i rischi della perdita di dati nell'era del cloud

Con la sempre maggiore adozione del cloud e l'ottimizzazione dei modelli di lavoro ibrido, la superficie d'attacco si è ampliata in modo significativo. Oggi, lo scenario delle minacce presenta sfide uniche a cui i tradizionali approcci alla sicurezza faticano a rispondere; è quindi necessario che le organizzazioni comprendano e mitighino i seguenti rischi critici:

• Shadow IT e applicazioni cloud non autorizzate: gli utenti utilizzano sempre più spesso servizi cloud non approvati per condividere e archiviare dati sensibili, creando lacune di visibilità che impediscono ai team IT di monitorare e proteggere le informazioni critiche che si spostano al di fuori dei canali autorizzati.
• Ransomware sofisticati e attacchi alla catena di approvvigionamento: gli aggressori moderni prendono di mira le infrastrutture cloud e le integrazioni con terze parti per cifrare o esfiltrare dati su larga scala, sfruttando relazioni di fiducia e connessioni API per massimizzare i danni nei sistemi interconnessi.
• Vulnerabilità legate al lavoro da remoto: con team distribuiti che accedono ai dati aziendali da dispositivi personali e reti non protette, le organizzazioni sono più esposte alla perdita di dati tramite endpoint non gestiti, reti Wi-Fi pubbliche e reti domestiche compromesse.
• Configurazioni errate nel cloud ed esposizione delle API: gli ambienti cloud complessi spesso presentano bucket di archiviazione configurati in modo errato, permessi eccessivi e API esposte che rendono involontariamente i dati sensibili accessibili a soggetti non autorizzati o all'intera rete internet.

I principali vantaggi dell'utilizzo di una soluzione di DLP (Data Loss Prevention) basata sul cloud

La DLP con base cloud offre numerosi vantaggi alle organizzazioni di ogni tipo, fornendo:

• Scalabilità semplificata, per soddisfare le esigenze legate a volumi di dati in continua crescita ed ecosistemi informatici in evoluzione
• Costi infrastrutturali ridotti, grazie all'eliminazione dell'hardware on-premise e delle relative spese per l'aggiornamento e la manutenzione
• Protezione degli utenti e delle filiali ovunque, senza la necessità di effettuare il backhauling del traffico al data center
• Distribuzione e configurazione più veloci rispetto alla DLP on-premise, senza dispositivi da gestire
• Aggiornamenti automatici dal cloud, che consentono di sfruttare le informazioni più recenti e le nuove funzionalità senza tempi di inattività

Come funziona la Cloud DLP: tecniche e strategie principali

In poche parole, la tecnologia di DLP, inclusa la DLP con base cloud, identifica i dati sensibili che necessitano di protezione, quindi agisce per metterli in sicurezza. Una soluzione di DLP può essere progettata per identificare i dati in uso, i dati in movimento o i dati inattivi (o qualsiasi relativa combinazione) e determinare se sono sensibili. A questo scopo, gli agenti di DLP possono utilizzare molte tecniche diverse, come ad esempio:

• Corrispondenza basata su regole o "espressioni regolari": questa tecnica identifica i dati sensibili in base a delle regole predefinite (ad esempio, i numeri a 16 cifre sono spesso indicatori di numeri di carte di credito). A causa dell'elevato tasso di falsi positivi, la corrispondenza basata su regole spesso rappresenta solo il passaggio iniziale prima di un'ispezione più approfondita.
• Corrispondenza esatta dei dati (database fingerprinting, o impronta digitale del database): questa tecnica, nota anche come Exact Data Match, o EDM, identifica i dati che corrispondono esattamente ad altri dati sensibili che sono già stati oggetto di fingerprinting, ovvero già riconosciuti da un database.
• Corrispondenza esatta dei file: questa tecnica funziona in modo analogo all'EDM, ma identifica la corrispondenza degli hash dei file senza analizzare i contenuti.
• Corrispondenza parziale dei documenti: questa tecnica individua i dati sensibili abbinandoli a pattern o modelli stabiliti (ad esempio, il formato di un modulo che viene compilato dai pazienti in una struttura di pronto soccorso).
• Machine learning, analisi statistica ecc.: questa famiglia di tecniche si basa sul fornire un elevato volume di dati a un modello di apprendimento per "addestrarlo" a riconoscere la probabilità che una determinata stringa di dati sia da considerare sensibile. Ciò è particolarmente utile per identificare dati non strutturati.
• Regole personalizzate: molte organizzazioni dispongono di tipologie specifiche di dati da identificare e proteggere, e la maggior parte delle moderne soluzioni di DLP consente di creare regole personalizzate da eseguire insieme alle altre.

Una volta identificati i dati sensibili, spetta alla policy di DLP determinare in che modo vanno protetti. A sua volta, il modo in cui vengono protetti ha molto a che vedere con il motivo per cui si desidera proteggerli.

Confronto tra DLP cloud, DLP on-premise e DLP tradizionale

Le organizzazioni che valutano le soluzioni di DLP devono comprendere le differenze fondamentali tra i modelli di implementazione per prendere decisioni consapevoli. Ogni approccio offre vantaggi e limiti specifici che incidono direttamente sull'efficacia della sicurezza, sull'efficienza operativa e sul costo totale di proprietà.

I principali casi d'uso della Cloud DLP

Come abbiamo spiegato in precedenza, salvaguardare i dati sensibili protegge le organizzazioni da altre perdite molto gravi, quali la perdita di clienti, delle entrate o i danni alla reputazione, e le aiuta a ottemperare alle normative legali e di settore. Proteggere questi dati richiede naturalmente la capacità di comprendere quali sono e dove si trovano, il che costituisce un altro caso d'uso chiave: la visibilità dei dati.

Quindi, in breve, una soluzione DLP viene utilizzata principalmente per:

• Proteggere i dati sensibili in movimento e inattivi: la DLP protegge i dati mentre si spostano o quando vengono archiviati all'interno di più endpoint, reti e cloud, cifrandoli, applicando controlli degli accessi e monitorando le attività sospette.
• Ottemperare alle normative: le policy e le tecnologie di DLP aiutano ad applicare controlli degli accessi, a monitorare l'utilizzo e a condurre audit per essere certi che i dati sensibili vengano gestiti in conformità con le normative, come RGPD, HIPAA e PCI DSS.
• Ottenere la visibilità sui dati: la DLP fornisce visibilità sui dati, offrendo dettagli approfonditi su dove risiedono e si spostano le informazioni sensibili, su chi può accedervi e su come vengono utilizzate, per aiutare a identificare le vulnerabilità, rilevare le attività rischiose e correggere e bloccare le violazioni dei dati.
• Protezione degli ambienti di lavoro remoti e dei dispositivi personali: con l'aumento della forza lavoro da remoto e delle politiche sull'utilizzo di dispositivi personali (modalità BYOD, ovvero Bring Your Own Device), la DLP aiuta ad applicare le policy di sicurezza su un'ampia gamma di dispositivi e sedi, riducendo il rischio di perdita di dati al di fuori dei confini delle reti tradizionali.

I cinque tipi di soluzioni di Cloud DLP

Dato che nessuna tecnologia, da sola, è in grado di rispondere efficacemente a tutti i casi d'uso o di risolvere tutte le cause di perdita di dati, oggi le soluzioni più efficaci per la protezione dei dati integrano più funzioni. Diamo un'occhiata ad alcune delle tecnologie di Cloud DLP più diffuse e importanti.

• I CASB (Cloud Access Security Brokers) sono broker dell'accesso che monitorano e controllano l'attività degli utenti e il trasferimento di dati tra endpoint e app cloud, e applicano le policy di sicurezza per prevenire gli accessi non autorizzati, le fughe di dati e le violazioni della conformità. Un CASB offre la massima visibilità sul comportamento degli utenti, sull'utilizzo delle app e sull'archiviazione dei dati negli ambienti cloud.
• Un software di DLP protegge le informazioni sensibili dalla fuga dei dati che può avvenire a livello di endpoint, e-mail, servizi cloud e tramite altri canali. Monitorando i dati e applicando le policy in tempo reale, un software di DLP consente di identificare e prevenire le potenziali violazioni.
• L'analisi del comportamento degli utenti e delle entità (UEBA) monitora, analizza e correla il comportamento degli utenti, i modelli di accesso, gli eventi di sistema e altro, per rilevare anomalie e potenziali minacce, come minacce interne dannose, account compromessi e movimento laterale.
• La gestione del profilo di sicurezza SaaS (SSPM) aiuta le organizzazioni a valutare e gestire le configurazioni di sicurezza, le autorizzazioni e le vulnerabilità tra le diverse app SaaS, per colmare le lacune nella sicurezza e mitigare i rischi associati all'esposizione dei dati e all'accesso non autorizzato.
• L'isolamento del browser esegue i contenuti web in un ambiente sicuro, impedendo a quelli potenzialmente dannosi (ad esempio download drive-by, malware, phishing) di accedere direttamente all'endpoint e avere un impatto su di esso, sulla rete o sui dati sensibili dell'utente.

Visibilità dei dati: la base di una DLP cloud efficace

Una soluzione di DLP non può prevenire la perdita dei dati se non è in grado di vedere il traffico. Ciò risulta fondamentale, soprattutto considerando che le organizzazioni continuano a spostare crescenti quantitativi di dati sul cloud, dove vi sono tre sfide critiche che impediscono alle soluzioni di DLP tradizionali, basate sulla rete, di visualizzare il traffico che dovrebbero ispezionare:

• Utenti in remoto: nella DLP basata sulla rete, i livelli di visibilità e protezione dipendono dal luogo in cui si trovano gli utenti. Questi ultimi possono facilmente aggirare l'ispezione se operano fuori dalla rete, collegandosi direttamente alle app cloud. Delle policy di DLP e sicurezza efficaci devono seguire gli utenti indipendentemente da dove si connettono o dal dispositivo che utilizzano.
• Traffico cifrato: l'incredibile aumento del traffico cifrato con TLS/SSL ha creato enormi punti ciechi per la DLP basata sulla rete, che non è in grado di decifrarli e ispezionarli.
• Limitazioni prestazionali: le soluzioni di DLP basate su dispositivi fisici dispongono di risorse limitate, il che gli impedisce di adattare in modo efficace le prestazioni per ispezionare la crescente quantità di traffico Internet inline.

Perché la Cloud DLP è fondamentale per le moderne aziende basate su cloud e mobile

Per affrontare le sfide della protezione dei dati che accompagnano la trasformazione digitale e superare le debolezze insite nella DLP aziendale di tipo legacy, sono necessarie una nuova mentalità e una nuova tecnologia. Non basta riconfigurare un intero stack hardware legacy per il cloud, in quanto risulterebbe comunque inefficiente e non disporrebbe del livello di protezione e dei servizi offerti invece da una soluzione di DLP con base cloud, tra cui:

• Protezione identica per tutti gli utenti all'interno e all'esterno della rete, garantendo una protezione completa dei dati a tutti gli utenti, ovunque si trovano: presso la sede centrale, in una filiale, in aeroporto o in un ufficio domestico.
• Ispezione nativa del traffico cifrato con TLS/SSL, offrendo all'organizzazione una visibilità di vitale importanza sul traffico, che consente di ispezionare anche i luoghi in cui si cela oltre l'85% degli attacchi.
• Scalabilità elastica per l'ispezione inline, che previene la perdita di dati analizzando tutto il traffico in arrivo e mettendo in quarantena quello sospetto.

Le best practice di Cloud DLP

Una perfetta strategia di DLP dipende dai dati e dalle esigenze di un'organizzazione, e le best practice varieranno di conseguenza, ma questo sarà oggetto di un altro articolo. Qui, esamineremo alcune best practice di DLP ad ampio spettro, che possono essere applicate a qualsiasi situazione:

• Alla distribuzione iniziale, è bene iniziare in modalità di solo monitoraggio, per avere un'idea del flusso di dati all'interno dell'organizzazione e capire quali sono le policy più adeguate.
• Utilizzare le notifiche agli utenti per far sì che i dipendenti siano sempre informati, in modo che le policy non vengano eseguite a loro insaputa, in quanto ciò potrebbe interrompere i flussi di lavoro e generare frustrazione.
• Assicurarsi che gli utenti possano inviare dei feedback in risposta alle notifiche (per giustificare le loro azioni o segnalare policy non funzionanti), da utilizzare per perfezionare le policy aziendali.
• Sfruttare misure di classificazione avanzata come l'EDM per ridurre i falsi positivi.

Muovi i primi passi con Zscaler Cloud Data Loss Prevention

Zscaler Data Loss Prevention, una soluzione distribuita al 100% sul cloud e parte della suite Zscaler Data Security. Zscaler DLP consente di colmare le lacune nella protezione dei dati, indipendentemente dalla posizione di utenti e applicazioni, riducendo contemporaneamente i costi e la complessità dell'IT.

Zscaler DLP fornisce:

• Protezione identica agli utenti e ai dati ovunque
• Protezione di Internet, endpoint, e-mail, SaaS, applicazioni private e profilo cloud
• Ispezione TLS/SSL scalabile dal security cloud inline più grande del mondo
• Flussi di lavoro e operazioni più semplici, sfruttando l'innovativo rilevamento dei dati basato sul machine learning

Vuoi scoprire come Zscaler DLP può proteggere la tua organizzazione? Richiedi una dimostrazione oggi stesso!