Produkty společnosti Forcepoint určené pro ochranu před únikem citlivých dat (DLP – Data Loss Protection) umožňují organizaci chránit data, která jsou považována za citlivá ze zákona (např. GDPR), nebo z pohledu intelektuálního vlastnictví organizace. Zároveň také napomáhají identifikovat zaměstnance s potenciálně rizikovým chováním.

Forcepoint DLP - ochrana před únikem citlivých dat umožňuje:

  • identifikovat citlivá data,
  • vyhledat citlivá data na úložištích,
  • zabránit jejich neautorizovaným výskytům či přesunům a provádět v tomto smyslu bezpečnostní audit.
  • sledovat rizikové chování zaměstnanců.

DLP řešení společnosti Forcepoint

Společnost Forcepoint je považována za vedoucí společnost v oblasti DLP a její produkty splňují všechny níže popsané požadavky. Pokud hledáte sofistikované řešení, které bezezbytku splňuje všechny požadavky na ochranu dat dle směrnice GDPR a zároveň zajišťuje spolehlivou ochranu intelektuálního vlastnictví, tj. kritických dat, jsou produkty společnosti Forcepoint nejlepší volbou.

Jednotlivé moduly a jejich funkcionalita

  • Forcepoint DLP Endpoint - chrání data na koncovém zařízení (i pokud jsou mimo firemní síť) a brání jejich odesílání pomocí e-mailu, webového prohlížeče, kopírování na USB, tisku a dalším rizikovým operacím, a to na platformě operačních systémů Windows a MacOS. Zákazníci většinou implementují DLP Endpoint jako první, protože jej lze nasadit v řádu hodin. Tento produkt lze implementovat i v prostředí Citrix.
  • Forcepoint DLP Discovery - zjistí, kde jsou uložena citlivá data ve firemní IT infrastruktuře (síťové disky, databáze, Exchange/SharePoint, a to včetně jejich on-line verzí). V kombinaci s modulem Forcepoint DLP Endpoint je Forcepoint DLP Discovery rozšiřitelný i na koncová zařízení v rámci firemní sítě i mimo ni.
  • Forcepoint DLP Network – umožňuje zabránit odcizení dat, prostřednictvím e-mailu nebo webových kanálů, což je důležitým faktorem pro všechny společnosti. Forcepoint DLP Network identifikuje rizika a předchází ztrátám dat, a to ať již se jedná o úmyslné či náhodné incidenty. Chrání společnosti před narůstajícími hrozbami z vnitřní sítě. Kromě výše popsaných technik (regulární výrazy, fingerprinting) využívá pro detekci citlivých dat, také OCR (Optional Character Recognition), tj. najde chráněná data i v obrázku, což je důležité pro případ, kdy je snaha poslat citlivá data např. jako screenshot.
  • Forcepoint DLP Cloud Apps - aplikuje DLP politiku pro soubory uložené na cloudových platformách OneDrive for Business, SharePoint Online a Box.

1. Identifikace citlivých dat

Standardní osobní údaje, jako jsou např. rodné číslo, adresa, atp., je možné definovat obecně, a to podle regulárních výrazů, nebo specificky - definováním dat z vlastní databáze. Obecná definice je z hlediska výpočetního výkonu jednoduchá a „levná“, ale může přinášet falešně pozitivní incidenty. Specifická definice sice vyžaduje více výpočetního výkonu, ale vzhledem ke skutečnosti, že ochrana je pak zaměřena jen na konkrétní údaje spravované organizací, je riziko falešně pozitivních incidentů minimalizováno, čímž se výrazně zvyšuje efektivita DLP systému. Standardní osobní údaje jsou nejčastěji v organizacích uloženy v relačních databázích. DLP systém tedy musí být schopen databázi přečíst a“otisky“ citlivých dat uložit do své databáze tak, aby je nebylo možné reverzním způsobem získat zpět. Následně pak DLP systém provádí kontrolu dat a odchozího datového toku s využitím těchto otisků. Intelektuální vlastnictví je obvykle definováno jako informace, která hodnotná pro organizaci. Pro zjištění citlivosti dat je obvykle potřeba provést tzv. data assesement, který určí, jaká data je nutné chránit a na jaké úrovni. Tato data mohou být strukturovaná – uložená v databázi nebo nestrukturovaná – v zásadě jakýkoliv volný text nebo datové soubory. DLP řešení musí být schopno zajistit ochranu obou typů dat.

2. Vyhledávání citlivých dat na úložištích

DLP řešení musí mít možnost vyhledávat citlivá data na libovolných úložištích (včetně cloudových úložišť a aplikací, jako jsou např. OneDrive, SharePoint, nebo Exchange Online). Vyhledávání může být definováno jako preventivní, přičemž odpovídá na otázku „jsou citlivá data umístěna jen na schválených úložištích?“, nebo jako součást vyšetřování incidentu, kdy probíhá zjišťování, kdo konkrétně měl k dispozici kopie citlivých dat a kde byla uložena.

3. Blokování nebo sledování neautorizovaných výskytů a přesunů dat

DLP řešení musí mít možnost zablokovat, nebo sledovat přesuny citlivých dat směrem z organizace. Z praktických důvodů je vhodné navíc požadovat stejnou funkcionalitu i v případě, když chráněné zařízení je uvnitř organizace, ale mimo vnitřní prostředí. Tím se lze vyhnout problémům, kdy při odpojení sítě, např. dočasnou nedostupností interní WiFi či VPN jsou blokovány přenosy dat, protože nemohou být analyzovány a zároveň situaci, kdy pro stroje mimo síť nejsou aplikována všechna pravidlaa pak je možné taková pravidla obejít, např. prostým odpojením stanice od vnitřní sítě.

Monitorované kanály:

  • při síťovém řešení: HTTP/HTTPS , FTP a SMTP,
  • při endpointovém řešení: USB porty, síťové rozhraní, přístup aplikací k citlivým datům, webové prohlížeče (odesílání dat), lokální klienti elektronické pošty, Copy & Paste a lokální tisk.< /li>

Chránit lze i data na mobilních zařízeních, a to v případě, že organizace umožňuje přístup k firemním e-mailům prostřednictvím ActiveSync protokolu. Zde je vhodné filtrovat citlivé e-maily, tak aby nebyly přímo synchronizovány na mobilní zařízení. Toto je obvykle řešeno systémem proxy, kdy mobilní zařízení se nejprve připojí na ActiveSync proxy, která následně zprostředkuje připojení na Exchange či Lotus Notes a provede DLP kontrolu.

4. Sledování rizikového chování zaměstnanců

Přesto, že DPL řešení klade hlavní důraz na ochranu dat, je analýza podezřelého chování uživatelů napomáhající identifikaci rizikových skupin zaměstnanců jeho podstatnou součástí Existuje množství různých příkladů rizikového chování uživatele, jako např. rozesílání životopisů, zasílání zpráv na vlastní soukromé e-mailové adresy, očerňování nadřízených, apod. Analýza rizikového chování tam může pomoci identifikovat nespokojeného zaměstnance dříve, než skutečně provede pokus o zcizení dat.

5. Výhody nasazení DLP

Nástroje typu DLP zaznamenávají veškerou práci se soubory a sbírají o nich statistické informace, a to se specifickým zaměřením na důvěrné informace. Zaznamenány jsou všechny aktivní operace, především operace přenosu souborů mimo definované prostředí. Tyto nástroje umí určit klasifikaci souboru a na základě pravidel umožnit přenos, zablokovat jej, nebo vyžádat po uživateli doplňující informace k přenosu.

Inspekce obsahu souboru a určení klasifikace souboru

  • regulární výrazy (rodná čísla, čísla platebních karet, čísla účtů)
  • slovníky (jména, příjmení, adresy)
  • databázové záznamy
  • duševní vlastnictví
  • a další…

Řízení toku dokumentů

  • na výměnná media (USB, CD/DVD RW, Floppy, Bluetooth, apod.)
  • tisk dokumentů
  • na síťová úložiště
  • na cloud
  • na webové služby
  • prostřednictvím e-mailu

Zaznamenávání statistické informace o přenášených souborech, včetně údajů o zdroji, cíli a informacích obsažených v souboru

Poskytování reportingu o přenosech informací mimo chráněné prostředí

Možnost rozšíření o síťové DLP – e-mail, web