ACM通信
数据丢失预防与以数据为中心的审计和保护:有什么区别?
供应商。文件审计和找出谁和何时使用了特定的文件是DCAP的主要功能。
顾客:“停,我们已经有了功能几乎相同的DLP。让我们在服务器上安装一个DLP代理程序- - - - - -就这样,任务解决了。”
的功能时,通常会发生这样的对话DCAP(数据中心审计和保护)系统的用户DLP(数字损失保护)系统。由于DCAP技术对一些客户来说是新技术,因此文件审计被认为是一种文档移动控制。这里的错误在于,文件审计被理解为文档控制,而没有参考它的用法。
让我们看看DCAP系统解决的典型任务,以及它们与DLP系统解决的任务有何不同。
DCAP和DLP:理解目的
DCAP是一类正在迅速普及的信息保护系统。它的设计主要是为了保护文件存储。
反过来,由于控制类型的数量更多,DLP允许您解决与特定员工的活动相关的问题,以及在网络流级别检测数据泄漏。
根据各种研究,在大多数公司中,高达80%的数据保存在“垃圾转储”文件和/或在一个非结构化形式.这一事实产生了许多与识别和保护敏感数据相关的问题。DCAP系统构建文件存储的内容,确定访问权限,并突出显示不应该公开的数据。但是为了控制这些文件在公司内部或外部的创建和移动,需要DLP。
DLP和DCAP系统在哪里使用?
DLP主要用于工作站。它还允许您扫描网络共享。
DCAP系统,反过来,被设计用来审计存储系统:Windows和Linux文件存储,NetApp, MS Sharepoint, Dell EMC, Synology, NextCloud等。
在这样的存储上安装DLP代理要么在技术上是不可能的,要么可能导致性能的严重下降,因为除了审计之外,DLP系统代理还将执行许多保护文件存储的冗余功能。
DCAP控制什么?
复制含有敏感信息的文件
终止:终止的任务个人资料加工是一个普遍的例子。有必要找到包含某个人个人资料的所有文件的所有副本。公司不知道的副本的存在可能是一个严重的问题,当监管机构审查时,会导致巨额罚款。DCAP系统中的搜索和分类模块可以是解决这个问题的方法之一。它允许我们识别包含不同类型的个人数据的所有文件,以及快速查找包含特定人员数据的所有文件,包括副本、其存储位置和访问权限。当应用于文件存储时,大多数DLP系统不提供此功能。
不合理的存储使用
扩容存储容量并不便宜。因此,优化可用存储的使用问题和其他磁盘管理问题就出现了。为此目的,DCAP系统可以:
- 确定哪些类型的数据占用的空间最多,哪些类型的数据增长最快。
- 确定数据的所有权;也就是说,确定哪些部门使用它。
- 识别很少使用的数据、垃圾文件和副本。
- 推荐哪些数据可以安全删除。
数据访问权限审核
审计的访问权限是DCAP用户最需要的任务。应该注意的是,DLP系统仅限于显示访问权限的当前状态(针对每个特定文件)。DCAP的可能性要大得多。这些包括:
- 识别与不正确配置访问权限相关的风险:禁用继承,破碎的acl,直接权限。
- 双向显示访问权限。对每个特定文件或目录的所有访问权限的完整显示,以及对特定用户或用户组可用的所有文件和文件夹的显示。
- 减少访问权限的建议,以初步模拟更改的可能性。DCAP可以显示哪些组将受到更改的影响,以及使用这些文件的哪些员工将不再能够获得访问权限。
档案审核和事件调查
该特性通常与DLP集成使用,以获得完整的图像。主要区别在于,DLP系统旨在对每个事件和信息泄漏进行细粒度检测。与此同时,DCAP系统不仅使用文件审计数据来识别单个事件(例如,谁删除或更改了一个特定的文件),而且还分析存储甚至几个存储库中的所有操作。它允许人们:
- 分析所有数据请求并识别资源的真正所有者。
- 显示所有员工的活动:谁使用特定的文件,以及它们是如何使用的。可以形成表格和图形报告。
- 根据文件访问统计数据检测异常行为。例如,一个帐户的写操作数量异常高,可能表明加密文件的恶意软件正在活动。
- 根据对访问请求的分析,确定文件服务器负载增加的原因。它显示了哪些帐户产生最重要的负载,哪些文件使用最频繁,等等。
除了侦测事件及识别异常外,DCAP亦提供主动回应,包括透过不同渠道发送通知(SIEM以及使用访问权限:拒绝帐户访问、拒绝访问特定文件夹/文件、设置只读模式、运行自定义脚本等。
如何使用DLP?
最需要的DLP特性包括:
员工时间跟踪
这一趋势出现在2020年之后,因为远程工作模式的大规模过渡。员工时间跟踪由于其结果的可视性和易用性而受到欢迎。一个现代的DLP系统可以让你根据多种因素来统计员工的工作投入情况,比如监视正在运行的应用程序、浏览不同浏览器选项卡的时间等等。这些功能不是由DCAP系统实现的。DCAP只能反映浏览器正在运行的事实。
内容分析和数据泄漏检测
DCAP只对存储的信息进行内容分析。任何DLP最重要的任务是分析传输信息的内容。诸如传输通道、发送方、接收方和周长等概念根本不适用于DCAP。
由DLP系统控制的标准通道集包括Web通信(Web邮件、社交网络)、即时消息、外部媒体和企业邮件。它还可以帮助监控移动设备(虽然完全移动安全建议安装VPN、防病毒、防火墙等软件。
形式上,DCAP能够识别存储在外部媒体上的数据问题,但只有在下一次扫描期间,并且在扫描时媒体是可用的。而DLP是实时工作的,可以在将信息复制到媒体的阶段立即发现数据泄漏。它还可以通过阻止文件传输来防止泄漏。传输文件的分类在传输尝试时立即发生,而不是像DCAP那样根据扫描期间的计划进行。
行为分析
行为分析也出现在DLP系统中,但与DCAP不同的是,DLP分析更多不同类型的事件。它不仅包括文件操作,还包括用户通信、启动的应用程序和特殊事件,如窗口标题中有特定关键字的网站访问。
DCAP只处理文件使用数据,这有助于检测存储内部的异常活动。不过,它并不总是有助于发现员工的奇怪和冒险行为。
选择什么?
尽管DLP和DCAP在功能上有一些相似之处,但它们是解决完全不同任务的独立系统。每一种方法都有助于从根本上确定在不同情况下发生的不同类型的事件。
DLP更适合识别特定的入侵者或恶意的内幕并应用于端点。DCAP更适合识别非结构化数据存储中的事件,这些事件与数据传输无关,而是与存储和用户访问权限相关。
最好的选择是集成DLP和DCAP,以便更好地控制企业数据的整个生命周期。
亚历克斯Vakulov是一名网络安全研究员,拥有20多年的恶意软件分析经验和强大的恶意软件删除技能。
没有发现记录