> 
واژه ی DLP که مخفف Data Loss Prevention می باشد، به یکی از راهکارهای امنیت سایبری اشاره داشته و وظیفه آن شناسایی و جلوگیری از دسترسی غیر مجاز به داده هاست. به همین دلیل است که معمولا سازمان ها از این راهکار به عنوان یکی از قوانین و دستورالعمل های امنیتی خود استفاده می کنند.
DLP قابلیت های سودمندی را در اختیار سازمان ها قرار می دهد. کسب و کارها می توانند به کمک این راهکار، عوامل از دست دادن داده ها را شناسایی کرده و مانع از انتقال غیر قانونی داده ها به خارج از سازمان شوند. علاوه بر این برای تامین امنیت داده ها و اطمینان از مطابقت با برخی قوانین مانند California Consumer Privacy Act (CCPA)، EU General Data Protection Regulation (GDPR) و همین طور Health Insurance Portability and Accountability Act (HIPAA) مورد استفاده قرار می گیرد. غالبا دو واژه ” data loss” و ” data leakage prevention ” به جای هم مورد استفاده قرار می گیرند، اما امنیت ارائه شده از سوی DLP به سازمان ها امکان دفاع در برابر هر دو مورد، را می دهد. سایر مزایایی که DLP برای سازمان ها دارد، عبارتند از:
شناسایی داده های مهم در سیستم های مبتنی بر فضای ابری و فیزیکی
جلوگیری از به اشتراک گذاری تصادفی داده ها
نظارت بر داده ها و محافظت از آن ها
آموزشِ رعایت مقررات به کاربران
آیا وجود DLP یک ضرورت است؟
به طور کلی دسترسی غیر مجاز به داده ها، با وجود راهکارهای امنیتی که برای آن ها در نظر گرفته می شود، با دیجیتالی شدن دنیای امروزه، سرعت گرفته است. تنها در نیمه اول سال ۲۰۱۹ تعداد نقض داده ها به ۳۸۰۰ رسیده است. طبیعتا DLP را می توان یک ابزار مهم و حیاتی برای هر سازمانی در نظر گرفت.
اطلاعات فردی یا PII (Personally Identifiable Information)
به طور کلی PII به اطلاعاتی اشاره دارد که برای تشخیص هویت افراد به کار گرفته می شود. DLP یا Data loss Prevention یکی از راهکارهای امنیتی است که مانع از انتشار تعمدی و یا تصادفی داده ها می گردد. به همین دلیل است که سازمان ها از آن برای تامین امنیت داخلی و رعایت مقررات استفاده می کنند.
Intellectual Property (IP)
همان طور که پیشتر نیز گفته شد PII برای تشخیص هویت افراد استفاده می شود که می تواند شامل آدرس ایمیل، آدرس IP، اطلاعات ورود به سیستم، پست های شبکه های اجتماعی، اطلاعات بیومتریک و همین طور موقعیت جغرافیایی باشد. برای محافظت از PII، مقررات سختگیرانه ای وضع شده است، مانند GDPR. این قوانین، حقوق بالایی برای افراد قائل شده و در صورت عدم رعایت توسط سازمان های مختلف و بروز نقض اطلاعات، جرایم سنگینی بر آن ها اعمال خواهد شد.
مضاف بر این، امنیت تامین شده توسط DLP، به سازمان ها امکان می دهد اطلاعات را طبقه بندی نموده و آن ها را برچسب گذاری کنند و همچنین بتوانند بر فعالیت ها، نظارت و کنترل داشته باشند.
انطباق با مقررات HIPAA
قوانین HIPAA، الزامات امنیتی گسترده ای را برای تمامی مشاغلی که به ذخیره سازی و محافظت از اطلاعات پزشکی مشغول هستند، تعریف می کند. آنچه که برای سازمان ها در نظر گرفته می شود، شامل دستورالعمل ها، پالیسی ها و روش های حفظ حریم خصوصی است. در ضمن جرائم و مجازات های کیفری و مدنی نیز در مقابل عدم رعایت محافظت از داده ها مشخص شده است.
لازم به ذکر است DLP نیز مانند GDPR برای سازمان هایی که می بایست تابع قوانین HIPAA باشند، ضروری است. به آن ها امکان می دهد اطلاعاتی که تحت پوشش قوانین می باشند را شناسایی، طبقه بندی و برچسب گذاری نمایند و و همچنین از محافظت کاربران، اطمینان حاصل کنند.
نحوه عملکرد DLP چگونه است؟
سیستم های DLP از طریق شناساییِ اطلاعات مهم و حیاتی سازمان ها، از آن ها محافظت نموده و سپس با استفاده از تجزیه و تحلیل محتوا، عوامل دسترسی غیر مجاز را شناسایی نموده و مانع از نقض داده ها می گردند. لازم به ذکر است تجزیه و تحلیل محتوا از روش هایی مانند keyword matches، regular expressions و internal function استفاده می کند تا بر اساس پالیسی تعریف شده ی سازمان، محتوا را شناسایی کند. در نتیجه کسب و کارها قادر خواهند بود به صورت خودکار مانع از دسترسی های غیر مجاز به اطلاعات شوند. پس از انتخاب راهکار DLP هر سازمان باید مراحل زیر را طی کند.
اطلاعات مهم و حیاتی را مشخص کنید
اولین گام در استفاده از DLP، مشخص کردن داده های مهم و حیاتی و ایجاد یک پالیسی DLP است که می تواند جزییات کارت اعتباری، آدرس ایمیل و یا امثال آن باشد.
یک پالیسی DLP شامل موارد ذیل است:
سیستم هایی که باید داده هایشان محافظت گردند.
زمان و نحوه ی محافظت از داده ها
مشخص کردن ruleهایی برای تعریف داده های مهم و تعیین واکنشی که در مقابل تهدیدات امنیتی قرار است صورت گیرد.
شرایطی که عکس العمل های مختلف را به سطوح مختلف تهدیدات اختصاص می دهد.
یک رویکرد Proactive اتخاذ کنید
مسلما تنها در اختیار داشتن راهکار DLP برای مقابله با تهدیدات سایبری کافی نیست. سازمان ها می بایست بر روی عملکرد کابران نظارت داشته و از داده های غیر فعال (data at rest)، در حال استفاده (data in use) و داده های در حال انتقال (data in motion) محافظت کنند.
• Data in motion: به data in transit هم معروف بوده و به داده هایی اشاره دارد که از یک لوکیشن به لوکیشن دیگر و یا از طریق اینترنت، بین شبکه ها، از یک تجهیز ذخیره سازی به فضای ابری و یا از طریق شبکه های خصوصی در حال انتقال است. قطعا این دسته از داده ها، از امنیت کمتری برخوردارند، بنابراین بهره مندی از اقدامات امنیتی، یک ضرورت است.
• Data in use: داده های در حال استفاده، داده هایی هستند که هم اکنون در دسترس بوده و پردازش، آپدیت و خوانده می شوند. و شامل اطلاعاتی هستند که در پایگاه داده ها، CPU و یا RAM ذخیره می گردند؛ مانند درخواست کاربران برای دسترسی به سابقه تراکنش در حساب بانکی آنلاین خود.
• Data in rest: به اطلاعاتی گفته می شود که بین دستگاه ها و یا شبکه ها، منتقل نمی شود؛ بلکه در یک دستگاه و یا یک هارد درایو ذخیره می شود. این دسته از داده ها از امنیت بالاتری در مقایسه با data in motion برخوردارند؛ اما می توانند یک هدف آماده و ارزشمند برای هکرها باشند.
تهدیدات را در لحظه شناسایی کنید
DLP از چندین روش مختلف برای شناسایی داده های مهم استفاده می کند، اما رایج ترینِ آن ها به کارگیری الگوی منظم است. این روش اقدام به تجزیه و تحلیل محتوا بر اساس الگوهای رایج مانند شماره ۱۶ رقمی کارت های اعتباری در کنار شاخص هایی مانند تقریب بودن کلمات کلیدی می نماید.
به عنوان مثال یک ویزا کارت دارای ۱۶ رقم است، اما تمام اعداد ۱۶ رقمی، مربوط به کارت های اعتباری نمی باشند. بنابراین DLP، یک سری محاسبات انجام می دهد تا تعیین کند آیا اعداد با الگوی خاصی، مطابقت دارند یا خیر.
ضمن اینکه به دنبال کلمات کلیدی مانند VISA یا AMEX در نزدیکی تاریخی که ممکن است تاریخ انقضا باشد می گردد تا مشخص کند که آیا اطلاعات مهم در معرض خطر هستند یا خیر.
وقتی تخلفی صورت می گیرد، DLP با “ارسال هشدار”، “رمزنگاری داده ها” و “اقدامات دیگری که مانع از به اشتراک گذاری داده ها توسط کاربران می گردد”، اقدام به اصلاح آن می نماید. در ضمن گزارشی ارائه می دهد که به مشاغل امکان می دهد مقررات وضع شده و الزامات ممیزی را رعایت نموده و نقاط ضعف موجود را شناسایی کنند.
راهکارهایی مانند security information and event management (SIEM) و intrusion prevention system (IPS) نیز، قابلیت های مشابهی ارائه می دهند تا به سازمان ها کمک کنند فعالیت های مشکوک را شناسایی نموده و تیم های IT را از نقض اطلاعات بالقوه مطلع سازند.
انواع تهدیدات
مهاجمان سایبری از روش های مختلف هک کردن اعم از ساده و پیچیده استفاده می کنند که انواع رایج آن ها عبارتند از:
Extrusion:
نوعی حمله سایبری است که هکرها سعی دارند با تکنیک هایی مانند code injection، malware و phishing به داده های مهم و محرمانه دست یابند.
یکی از بزرگ ترین حملات بدافزاری تاریخ، توسط بدافزار WannaCry در May سال ۲۰۱۷ رخ داد که موفق شد ۲۳۰.۰۰۰ سیستم را در ۱۵۰ کشور مختلف آلوده کند. این مهاجمان، آسیب پذیری موجود در نسخه های قدیمی ویندوز را هدف قرار داده بودند، سپس فایل ها را رمزنگاری نمودند و از قربانیان، درخواست باج کردند.
تهدیدات داخلی
تهدیدات داخلی، به نقض داده هایی اشاره دارد که از داخل سازمان نشات می گیرد. عوامل مخرب داخلی می تواند یک کارمند سابق سازمان و یا یک شریک تجاری باشد که در مورد اقدامات امنیتی سازمان و سیستم ها، اطلاعات کافی دارد. عوامل داخلیِ تهدید یا از دسترسی های خود سوء استفاده می کند یا حساب کاربری با دسترسی های ادمین را به خطر می اندازد و نهایت تلاش خود را می کند تا اطلاعات سازمان را به خارج منتقل کند.
در سال ۲۰۱۶ یک شرکت IT بریتانیایی با عنوان Sage به دلیل استفاده ی یک کارمند از لاگین های داخلی برای دسترسی به داده های بین ۲۰۰ تا ۳۰۰ مشتری بدون اجازه، قربانی این تهدید شد. این نقض اطلاعات، نسبتا کوچک بود و مشخص نشد چه سطحی از اطلاعات تحت تاثیر قرار گرفت، اما پس از آن ارزش سهام این شرکت، ۴% سقوط کرد.
نقض اطلاعاتی که در مورد کارت های اعتباریِ Target در سال ۲۰۱۳ رخ داد، مثال دیگری از تهدیدات داخلی است. این تهدید، بر روی اطلاعات ۴۱ میلیون کاربر تاثیرگذار بود و حدود ۱۸.۵ میلیون دلار برای این کمپانی هزینه در بر داشت. توسط یک تامین کننده third-party صورت گرفت که اطلاعات ورود به سیستم های محرمانه را به صورت ناایمن مورد استفاده قرار داده بود. به این ترتیب، هکرها توانستند از آسیب پذیری موجود در سیستم های پرداختی Target سوء استفاده کرده و به دیتابیس مشتریان، دسترسی پیدا کنند. پس از آن بدافزار مورد نظر خود را نصب نموده و به اطلاعات مشتریان، دست پیدا کردند.
و اما خوشبختانه راهکار این تهدیدات، در DLP وجود دارد. این تکنیک می تواند با ارائه ی قابلیت نظارت و کنترل بر روی فایل ها و فعالیت کاربران، از این تهدیدات، ممانعت به عمل آورد. ضمن اینکه سازمان ها را از قابلیت بازیابی فایل ها برای مواردی که به صورت تصادفی از بین می رود بهره مند می سازد.
Unintended Exposure:
گاهی اوقات نقض اطلاعات، ناشی از سهل انگاری و قرار دادن آن ها در معرض خطر است. به طور معمول این امر، نتیجه ی دانش ناکافی پرسنل و یا عدم اعمال محدودیت های دسترسی مناسب بر اساس پالیسی های سازمان می باشد.
نقض اطلاعاتی که برای شرکت RSA در سال ۲۰۱۱ پس از کلیک بر روی ایمیل های حاوی فیشینگ رخ داد، سوابق ۴۰ میلیون فرد را در معرض خطر قرار داد. زمانی که کارمندان بر روی ایمیل ها کلیک می کردند، هکرها به سیستم مورد نظر خود دسترسی پیدا کرده و توکن های احراز هویت SecurID را به خطر می انداختند.
و اما قابلیت تجزیه و تحلیل محتوای DLP به سازمان ها امکانِ تشخیص تهدیدات را می دهد. در ضمن به کارمندانی که ناخواسته، اطلاعاتی را به اشتراک می گذارند، هشدار ارسال نموده و یا به طور کلی قابلیت به اشتراک گذاری ایمیل یا فایل ها را مسدود می کند.
ارائه DLP توسط فورتی نت
با توجه به توضیحات ارائه شده باید گفت DLP برای تمامی مشاغل، ضروری است. FortiGate یک راهکار امنیتی جامع است که تکنیک DLP را در کنار قابلیت هایی چون NGFW، SD-WAN و بسیاری موارد دیگر ارائه می دهد. مضاف بر این، همه فاکتورهایی که کسب و کارها برای حفظ داده های خود و ممانعت از حوادث امنیتی پر هزینه نیاز دارند، در اختیارشان قرار می دهد.
دفتر تهران 
ساعات کاری 
