Technologické možnosti omezení úniku dat

Data Leak Prevention (DLP) je jeden z nejrychleji rostoucích segmentů bezpečnostních aplikací. Technicky lze ochranu nasadit buď na síťovém bodu, nebo na koncové stanici, popř. použít kombinaci obou metod.

Technologické možnosti omezení úniku dat


Současné produkty DLP můžeme rozdělit na tři části, ty které se zaměřují na ochranu dat na síťovém bodu (Network DLP), ty které řeší ochranu přímo na koncové stanici (Endpoint DLP) a nakonec kombinovaná, neboli hybridní řešení. Všechny typy mají své výhody i nevýhody.

Network DLP

Síťové DLP se jednoduše nasazuje,  většinou se jedná o HW boxy, které se napojí na určitý síťový bod a filtrují veškerý přenos dat ven z firemní sítě, není potřeba instalace. Vzhledem k tomuto faktu je síťové DLP nejrozšířenějším typem a nabízí  ho většina výrobců z oblasti bezpečnosti IT. V posledních letech se však ukázalo, že takový přístup je velmi omezený a ve výsledku dokáže zabránit pouze zlomku úniků dat.

Většina dat totiž neuniká prostřednictvím síťových kanálů, nýbrž prostřednictvím vstupů a výstupů na koncové stanici. Navíc jsou tato řešení bezmocná v případě mobilních uživatelů nacházejících se mimo kontrolovanou firemní síť.

Endpoint DLP

Zmiňovaná zjištění proto způsobila vysoký nárůst zájmu o řešení typu Endpoint DLP, které je schopno řešit nejrizikovější kanál úniku dat - koncové stanice. Vzhledem k tomu, že toto je ta nejúčinnější strategie jak zabránit úniku dat, lze v příštím roce očekávat rostoucí počet řešení tohoto typu, na úkor jednoduchého Network DLP. Vzhledem k této situaci začala většina výrobců Network DLP s pokusy o řešení úniků dat i prostřednictvím koncových stanic.

Vývoj Endpoint DLP je však velmi náročný. Jedná se o komplikovaný typ softwaru, a to především díky hluboké integraci do operačního systému a jeho mechanismů, které DLP tohoto typu už z principu musí být schopno kontrolovat a omezovat. Velmi nešťastná mohou být polovičatá řešení. Vzhledem k náročnosti vývoje a technologickým bariérám jsou často Endpoint DLP omezeny na podporu ochrany pouze určitých aplikací, nenabízejí dostatečnou ochranu vůči různým alternativním metodám vynášení dat (snímek obrazovky, schránka, archiv, apod.) a nejsou schopny hlídat síťovou komunikaci.

Hybridní DLP

Vzniklo tak mnoho takzvaných hybridních řešení, které kombinují Network a Endpoint DLP. V mnoha případech se jedná o velmi těžkopádné a nekoncepční aplikace, často s vysokými nároky na implementaci takových řešení do firemního prostředí.

Trendem je ochrana koncové stanice s kontrolou síťové komunikace

Z těchto důvodů začínají vznikat pokročilá Endpoint DLP řešení, která jsou schopna zajistit vysokou míru ochrany bez nutnosti podpory specifických aplikací, odolných vůči různým metodám vynášení dat. Jejich výraznou předností je schopnost zabezpečit síťovou komunikaci přímo na koncové stanici. Není tedy potřeba nasazovat složitá, finančně i technicky náročná, hybridní řešení, stačí pouze na koncové stanici vzdáleně nainstalovat SW agenta a  prostřednictvím centrální konzole je spojit. Z výše uvedeného vyplývá, že  během příštího roku  lze očekávat zvýšený zájem výrobců i klientů o moderní a efektivní Endpoint DLP řešení a následně významný nárůst jejich podílu na celém trhu s DLP softwarem.

Autor pracuje jako CTO ve firmě Safetica Technologies

 


Úvodní foto: © alphaspirit - Fotolia.com




Komentáře