He tenido algunas consultas sobre la Prevención de Fuga de Datos y SANS Cumbre cifrado voy a estar el próximo mes de notas clave. Las preguntas han girado en torno DLP, en general, así que pensé que iba a dar un recorrido por la tecnología.

¿Qué es DLP?

DLP es sinónimo de "Prevención de Fugas de Datos" o "Data Loss Prevention", según el proveedor que está hablando. Hay algunos nombres actualmente en otros brincaban (tengo la gente de marketing amor tratando de hacer sus cosas aspecto más moderno y fresco ), Sino que son efectivamente la misma tecnología. DLP intenta iniciar la sesión o, posiblemente, prohibir, la transferencia de información sensible desde un lugar seguro a un lugar inseguro.

La información confidencial por lo general incluye datos como números de tarjetas de crédito o números de seguridad social. La mayoría también le dará la posibilidad de definir frases o archivos específicos como sensibles. Por supuesto, la cantidad de personalización que usted reciba dependerá de la tarjeta, pero estas características son bastante estándar. La gran diferencia tiende a ser con la facilidad de creación de políticas. Algunos le permiten utilizar un lenguaje sencillo, natural, mientras que otros pueden requerir que aprender un Regex tipo de lenguaje de expresión para crear políticas y escribir filtros.

Piense en los dispositivos DLP como los sistemas de detección de intrusiones de palabras clave específicas y usted consigue la idea. De hecho, algunos NIDS establecidos y los vendedores de PIN es ahora pregonan sus capacidades DLP también. También tiene una serie de nuevas empresas que se centran específicamente en el mercado DLP.

¿Cómo DLP trabajo?

En la actualidad hay tres diferentes métodos de implementación de DLP:

• En el cable
• En el servidor
• En el escritorio

Algunos proveedores ofrecen un método único de despliegue, mientras que otros admiten los tres. Hay fortalezas y debilidades de cada uno, que voy a cubrir más adelante en este FAQ.

¿Cuál es el costo DLP?

Ya que es una nueva tecnología, los precios son por todo el tablero. Una empresa de tamaño mediano (50-500 nodos) puede llegar a pagar entre $ 30.000 y 200.000 dólares EE.UU.. Estos dispositivos no son plug and play significa, por lo que una parte del costo incluye la configuración del dispositivo y la personalización de un entorno específico. También debe esperar un poco de tiempo de entrega para obtener el dispositivo (s) desplegado correctamente.

¿Cuáles son los problemas con la tecnología DLP?

Probablemente el mayor problema con la tecnología DLP es que puede ser fácilmente derrotado. Es realmente diseñado para evitar la fuga de datos accidental, en lugar de un ataque de verdad. Usted debe considerar DLP una mejora de su nivel de seguridad existente, no un reemplazo para cualquier tecnología desplegados anteriormente.

Por ejemplo, la implementación de DLP en el cable es probablemente la implementación más rápida y efectiva. El problema es que puede ser fácilmente derrotado por el cifrado. Así que si puedo encriptar un archivo confidencial antes de la transmisión, o aprovechar una tecnología VPN (ver puntos 5 y 4 en mi Principales amenazas firewall 5 ) post, la red basado en DLP no podrá ver la información que pasa.

Algunos dispositivos DLP le puede dar una capacidad limitada para solucionar el problema de encriptación. Por ejemplo Fedelis se integrará con un número de productos de servidor proxy HTTPS para ver que pasa. Usted tiene que comprar un producto, apoya sin embargo y configurar de forma específica para evitar que de extremo a extremo de cifrado HTTPS (el proxy rompe el flujo de datos cifrado para la carga útil puede ser analizada). Incluso entonces sólo ha resuelto el problema a través de HTTPS. Los datos encriptados a través de otros puertos seguirá siendo un problema. O que un atacante puede cifrar el archivo localmente y luego transmitir a través de HTTPS, porque todos los proxy puede despojar es el cifrado SSL.

El despliegue de DLP en el escritorio resuelve algunos de estos problemas, pero no todos ellos. Por ejemplo, los agentes de escritorio que he mirado en hacer un buen trabajo que me impide la transferencia de un archivo confidencial a través de Internet o en un local de la unidad USB. Si ejecuta un agente basado en DLP, intente lo siguiente:

1. Abrir un archivo confidencial
2. Crear una captura de pantalla de información sensible (CTRL-ALT-Imprimir pantalla)
3. Abra Windows Paint y presione CTRL-V
4. Guarde el archivo como un archivo GIF o JPG
5. Copia en una unidad USB o la transferencia a través de Internet

Si sus resultados son similares a los míos, se encuentra esta tontos truco muy simple agente en dejar los datos pasan. Si usted quiere conseguir realmente pulido, se puede añadir un poco de esteganografía .

Resumen ejecutivo

DLP es una tecnología de gran alcance que puede ayudar a prevenir la divulgación de información sensible. En la actualidad es más adecuado para la prevención contra fuga de datos accidental y no un atacante determinado. Si la publicación de datos sensibles es un problema grave, es posible que deba volver a trabajar la arquitectura actual con el fin de cerrar los agujeros DLP no puede defenderse.