什么是数据丢失防护 (DLP)?数据丢失防护 (DLP) 是一种检测和防止数据泄露或数据破坏的策略。许多 DLP 解决方案分析网络流量和内部端点设备,以识别机密信息的泄漏或丢失。组织使用 DLP 来保护他们的机密商业信息和个人身份信息 (PII),这有助于他们遵守行业和数据隐私法规。
什么是数据泄露?
数据泄露是指未经公司授权移动数据。这也称为数据挤压。DLP 的主要目标是防止数据泄露。数据泄露可以通过多种不同的方式发生:
- 机密数据可以通过电子邮件或即时消息离开网络
- 用户可以在未经授权的情况下将数据复制到外部硬盘驱动器上
- 员工可以将数据上传到公司无法控制的公共云
- 外部攻击者可以获得未经授权的访问并窃取数据
为防止数据泄露,DLP 会跟踪在网络内、员工设备上以及存储在企业基础设施上的数据移动。然后,它可以发送警报、更改数据权限,或者在某些情况下在数据有离开公司网络的危险时阻止数据。
数据丢失防护有助于阻止哪些威胁?
- 内部威胁:任何可以访问公司系统的人都被视为内部人员。这可以包括员工、前员工、承包商和供应商。有权访问敏感数据的内部人员可能会泄露、破坏或窃取该数据。DLP 可以通过跟踪网络内的敏感信息来帮助阻止未经授权的转发、复制或破坏敏感数据。
- 外部攻击:数据泄露通常是网络钓鱼或基于恶意软件的攻击的最终目标。外部攻击也可能导致永久性数据丢失或破坏,例如在内部数据被加密且无法访问时的勒索软件攻击。DLP 可以帮助防止恶意攻击者成功获取或加密内部数据。
- 意外数据暴露:内部人员经常会在不经意间暴露数据——例如,员工可能会将包含敏感信息的电子邮件转发给外部人员而没有意识到这一点。与 DLP 如何阻止内部攻击类似,它可以通过跟踪网络内的敏感信息来检测和防止这种意外的数据泄露。
DLP 如何检测敏感数据?
DLP 解决方案可能会使用多种技术来检测敏感数据。其中一些技术包括:
- 数据指纹:这个过程创建了一个独特的数字“指纹”,可以识别特定的文件,就像个人指纹识别个人一样。该文件的任何副本都将具有相同的指纹。DLP 软件将扫描传出数据的指纹,以查看是否有任何指纹与机密文件的指纹匹配。
- 关键字匹配:DLP 软件会在用户消息中查找某些单词或短语,并阻止包含这些单词和短语的消息。如果公司希望在财报电话会议之前对其季度财务报告保密,则可以配置 DLP 系统以阻止包含“季度财务报告”或已知出现在报告中的特定短语的外发电子邮件。
- 模式匹配:此技术根据文本适合受保护数据类别的可能性对文本进行分类。假设从公司数据库发出的 HTTP 响应包含一个 16 位数字。DLP 系统将此文本字符串归类为极有可能是信用卡号,这是受保护的个人信息。
- 文件匹配:将在网络内移动或离开网络的文件的哈希值与受保护文件的哈希值进行比较。(散列是可以识别文件的唯一字符串;散列是通过散列算法创建的,每次给定相同的输入时,它们都具有相同的输出。)
- 精确数据匹配:这会根据包含应保持在组织控制范围内的特定信息的精确数据集来检查数据。