توسط: در حوزهی پیشگیری از نشت داده DLP یا Data Loss Prevention ، سه نوع راهکار اصلی در جهت جلوگیری از نشت اطلاعات سازمانها وجود دارد که هرکدام از آنها برای پوششدهی بخش خاصی از زیرساخت سازمان طراحی شدهاند: راهکارهای مبتنی بر شبکه، نقطه پایانی (Endpoint) و ابری . (Cloud-based) در ادامه هرکدام را بهصورت مختصر معرفی میکنیم:
- راهکارهای DLP مبتنی بر شبکه (Network-based DLP)
این نوع راهکارها بر ترافیک شبکه نظارت دارند تا از نشت اطلاعات حساس در هنگام ارسال به خارج از سازمان جلوگیری کنند. این روش در مانیتورینگ ایمیلها، وب، FTP ، شناسایی اطلاعات حساس در حال انتقال، جلوگیری از ارسال غیرمجاز دادهها به بیرون از سازمان کاربرد دارد. برای مثال ارسال ایمیل یا آپلود فایل یکی از موارد امنیتی مربوط به شبکه است که با رعایت و استفاده از DLP تحت کنترل قرار میگیرد.
ویژگیهای راهکارهای DLP مبتنی بر شبکه:
نظارت بر ایمیلها، ترافیک وب، FTP، و پروتکلهای دیگر
شناسایی دادههای حساس هنگام عبور از شبکه
اعمال سیاستها بهصورت بلادرنگ (Real-time).
مزایای راهکارهای DLP مبتنی بر شبکه:
- پوشش گسترده بر روی تمام ارتباطات خروجی
مناسب برای محافظت از دادهها در حالت در حال انتقال “” (Data in Transit).
محدودیتهای راهکارهای DLP مبتنی بر شبکه:
عدم توانایی در شناسایی فعالیتهای آفلاین یا ذخیرهسازی محلی
وابسته به محل استقرار فایروالها و گیتویها
- راهکارهای DLP نقطه پایانی (Endpoint-based DLP)
این نوع DLP بر روی دستگاههای کاربران (لپتاپ، کامپیوتر، موبایل) نصب میشود تا از نشت اطلاعات از طریق USB، پرینتر، اسکرینشات، یا کپیپیست جلوگیری کند.
از کاربردهای روش نقطه پایانی میتوان کنترل کپی و انتقال فایلها، جلوگیری از پرینت یا ذخیرهسازی اطلاعات محرمانه، بررسی رفتار کاربر روی دستگاه را نام برد.
ویژگیها سیستم نقطه پایانی:
کنترل فعالیتهای کاربر بر روی فایلها
نظارت بر کپی به USB، انتقال فایلها، و حتی پرینت گرفتن
قابلیت شناسایی رفتارهای مشکوک
مزایای مدل نقطه پایانی:
محافظت از دادهها در حالت “در حال استفاده” (Data in Use).
مناسب برای محیطهایی با کاربران زیاد یا دستگاههای سیار
محدودیتها مدل نقطه پایانی:
نیاز به نصب عامل (Agent) روی هر دستگاه
مدیریت پیچیدهتر به نسبت راهکارهای دیگر
- راهکارهای DLP مبتنی بر ابر (Cloud-based DLP)
این راهکارها برای نظارت و محافظت از دادههای ذخیرهشده یا در حال استفاده در سرویسهای ابری مانند Microsoft 365، Google Workspace، Dropbox و … طراحی شدهاند.
کابردهای این روش شامل کنترل دسترسی به دادههای ابری، جلوگیری از اشتراکگذاری ناخواسته اطلاعات، رمزنگاری یا حذف دادههای حساس روی سرویسهای ابری است
ویژگیهای مدل ابری:
یکپارچهسازی با سرویسهای SaaS و IaaS.
شناسایی و رمزنگاری دادههای حساس در ابر
پشتیبانی از سیاستهای دسترسی و اشتراکگذاری ایمن
مزایای مدل ابری:
مناسب برای سازمانهایی که به فضای ابری مهاجرت کردهاند
مقیاسپذیری بالا و مدیریت آسان از طریق کنسول متمرکز
محدودیتهای مدل ابری:
نیازمند اتصال پایدار به سرویسهای ابری
وابستگی به APIهای ارائهدهندگان سرویس ابری
همانطور که در بالا توضیح دادیم سیستم DLP که یک سیستم جلوگیری از نشت اطلاعات سازمانهاست، به 3 نوع اصلی که نام بردیم متکی است، اما انواع فرعی دیگری هم دارد که عبارتند از
برای پیادهسازی مؤثر DLP، معمولاً ترکیبی از این سه نوع راهکار پیشنهاد میشود تا دادهها در تمام حالتها (در حال استفاده، در حال انتقال، و در حال ذخیرهسازی) محافظت شوند. انتخاب نوع مناسب به عوامل متعددی مانند نوع کسبوکار، زیرساخت فناوری اطلاعات، و محل ذخیرهسازی دادهها بستگی دارد.
