DLP: cos'è la Data Loss Prevention, come si implementa, come si misura

Nell'era dei data breach le funzioni di DLP sono sempre più importanti, anche se il mercato della Data Loss Prevention può sembrare frammentato

Tecnologie/Scenari
Il mantra della data economy ha coinvolto un po' tutte le imprese. Facendo loro capire, se fosse ancora necessario, l'importanza dei dati che producono e gestiscono. A sottolineare questa importanza ci si sono messe anche le normative come il GDPR. E purtroppo anche l'attenzione dei cyber criminali, che i dati fanno in modo di sottrarli. Ma non ci sono solo i data breach a minacciare le informazioni. Esistono molti modi in cui i dati possono uscire impropriamente da un'azienda. E anche molti modi per cercare di impedirlo. È il campo, piuttosto ampio, della DLP. O Data Loss Prevention. Che qui cerchiamo di sintetizzare alcuni punti fondamentali.

Cos'è la DLP?

Sintetizzando molto, la DLP è il complesso dei prodotti e delle procedure che servono a fare quello che indica il termine stesso. Ossia la prevenzione (prevention) di qualsiasi perdita di dati (data loss). Non si tratta di un campo nuovo, anzi. Di DLP si parla da anni. Essenzialmente da quando i dipendenti delle imprese hanno cominciato ad usare in massa dispositivi e servizi online, anche fuori dal controllo dell'IT aziendale, per gestire informazioni critiche.

La DLP infatti non riguarda solo le perdite di dati dovute ad attacchi e data breach. Ma anche all'incuria di chi carica informazioni importanti sul proprio Dropbox o su un pendrive USB. E poi magari lo perde. DLP è anche fare in modo che documenti importanti non vengano sottratti dai dipendenti. O che non vengano allegati, anche per sbaglio, ad email indirizzate a destinatari esterni.
data breachOggi si fa DLP spesso senza usare affatto l'espressione Data Loss Prevention. Si parla magari di cyber security in generale. O di endpoint protection. La DLP si è adattata all'evolversi degli scenari IT. Ma è ancora più importante ora che le imprese hanno, volontariamente o meno, dati importanti distribuiti in cloud, su device mobili, tra sedi remote, persino nelle case dei dipendenti in smart working.

Cosa fa una soluzione di DLP?

Sul mercato esistono diverse soluzioni di DLP, offerte come piattaforme classiche o come servizi cloud, e non tutte hanno lo stesso raggio d'azione. Il cuore della DLP è monitorare il traffico dei dati all'interno di un'azienda per evidenziare i casi in cui i dati stessi circolano impropriamente. Il che significa controllare quali dati e documenti sono consultati da quali endpoint aziendali e da quali risorse e servizi cloud. E quali dati circolano in rete all'interno dell'IT aziendale e da/verso di essa.

Questo utilizzo dei dati e dei documenti viene costantemente confrontato con le policy di utilizzo corretto definite dall'impresa. In caso di anomalie, una soluzione di DLP attiva le necessarie procedure di remediation. Che possono andare dalla generazione di allarmi al "blocco" dei dati coinvolti e dei sistemi che li hanno gestiti impropriamente.

Quali tipi di dati sono monitorati dalla DLP?

In teoria qualsiasi tipo di informazione. Poi è chiaro che ci si concentra sui dati che hanno il maggior valore, che sono più "sensibili" o che hanno la maggiore probabilità di essere sottratti. Storicamente il mercato della Data Loss Prevention nasce per proteggere le informazioni di concreto valore commerciale. Quindi i dati di business, come i contratti. O che rappresentano una proprietà intellettuale per l'azienda, come i progetti.
data 1590455 1280Oggi la spinta maggiore alle soluzioni mirate di DLP viene invece dalla compliance. Norme recenti come il GDPR europeo di fatto obbligano le aziende, anche piccole, ad essere sicure che la loro gestione delle informazioni sensibili sia ottimale. Il che significa anche aver messo in atto i sistemi e le misure per evitare che finiscano in mano a chi non avrebbe diritto di consultarli.

Come si monitorano i dati in un sistema di DLP?

Il controllo dei dati avviene di solito con una combinazione di tre elementi di DLP, che possono anche in parte coincidere. Il primo è un agent che viene installato sugli endpoint. Il suo compito è analizzare gli eventi che avvengono sull'endpoint, nella parte collegata alla gestione dei dati. Attivando le necessarie azioni di controllo. Ad esempio impedendo di inviare via mail un determinato documento. O di salvare su un disco esterno certe informazioni.

Il secondo componente è una appliance che si installa nella rete ed esamina il suo traffico, operando a diversi livelli del tradizionale stack ISO-OSI. Valuta cioé il traffico a livello dei protocolli di rete veri e propri, ma sa anche individuare i dati scambiati a livello applicativo. Ed esaminare in dettaglio dati strutturati e non strutturati. L'appliance può anche essere virtuale. E se ne possono avere più di una.

Il terzo elemento è un agent di data discovery. Semplificando, scandaglia tutte le risorse di storage (on-premise, in cloud, primario, secondario, di backup...) ed esamina i dati che contengono. La combinazione dei tre elementi permette di controllare i dati in uso da parte degli endpoint, che transitano in rete e che sono memorizzati da qualche parte. Cioè tutte le possibili "posizioni" dei dati.
gdpr

Come si identificano i dati da proteggere?

Li si può indicare esplicitamente alla piattaforma di DLP. Ma questo è un approccio ovviamente limitato. Di norma si usano sistemi automatici che valutano la "criticità" delle informazioni. Ci sono vari approcci per questa analisi, di cui alcuni vanno molto bene per certi tipi di dati e meno bene per altri. Ad esempio, un sistema di DLP può analizzare un documento testuale o un database alla ricerca di parti che soddisfano regole specifiche o espressioni regolari.

Per file non strutturati si adottano altri approcci. Come la generazione di hash per identificarli univocamente in base al contenuto. O l'applicazione di un insieme di regole e dizionari, anche predefiniti per forme specifiche di complance, a file a priori completamente non strutturati. Oggi su punta molto anche su sistemi DLP che usano il machine learning e l'analisi statistica per identificare le violazioni alla sicurezza delle informazioni.

Attenzione: non si può proteggere quello che non si sa di avere. Quindi una parte importante e preventiva della Data Loss Prevention è costituita da attività di data discovery. In sostanza, individuare e catalogare tutti i dati gestiti in azienda. O una loro parte.

Ci sono metriche per ottimizzare la DLP?

La metrica qualitativa "se non si perdono dati, il sistema funziona" non porta molto lontano. Può forse dire che sì, il sistema nel complesso funziona. Ma non è detto davvero. Comunque non dice se può funzionare meglio. E soprattutto se i controlli interferiscono con il lavoro dell'azienda in generale. Un sistema di DLP va valutato secondo diversi parametri, ciascuno con sue metriche.
personal data 3914806 1920Ciò che conta è soprattutto l'efficacia delle policy di DLP. Perché in fondo tutto il funzionamento di un sistema si basa su regole, esplicitate o generate automaticamente, che dicono cosa fare se un certo tipo di dati viene usato in un certo modo. Qui le metriche chiave sono due: il numero di falsi positivi per unità di tempo (giorno, settimana, mese...) e il numero delle eccezioni permesse, sempre per unità di tempo. Entrambi idealmente dovrebbero essere zero.

Avere troppi falsi positivi indica di solito che c'è un problema nella definizione delle regole o nella valutazione della criticità delle informazioni. Se il sistema ci avvisa di una violazione che poi non viene giudicata tale, vuol dire infatti che abbiamo posto regole troppo stringenti o che certi dati giudicati sensibili non lo erano.

Consentire troppe eccezioni alle regole indica invece che c'è un problema più ampio. La valutazione della criticità delle informazioni e delle violazioni è corretta, ma si ammettono molte eccezioni perché probabilmente non si sono compresi appieno i processi di gestione delle informazioni da parte dei dipendenti. C'è forse una differenza di visione marcata tra chi gestisce la sicurezza e i business manager. E questa differenza genera potenzialmente punti deboli nella gestione delle informazioni.

In un sistema DLP conta anche molto la capacità di reazione. Che dipende dalle funzioni del singolo sistema, da come lo abbiamo configurato, da come lo abbiamo collegato agli altri elementi di gestione dei dati. La domanda da porsi è: quanto tempo passa dal momento in cui una funzione di DLP genera un allarme a quando l'azione che lo ha causato viene bloccata? Non è detto infatti che la piattaforma di DLP abbia le funzioni, o sia stata impostata, per bloccare istantaneamente le operazioni che giudica illecite. Ma se la reazione è troppo lenta, il data breach è dietro l'angolo.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Speciale

Coronavirus e sicurezza: proteggersi dal contagio digitale

Speciale

World Backup Day 2020: i consigli per tenere al sicuro i dati

Speciale

Soluzioni anti intrusione per la casa e l'ufficio

Calendario Tutto

Set 16
Come costruire un’azienda sicura? La guida definitiva nel cuore della ripartenza

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori