DLP SOLUTION - Data loss preventation, giải pháp chống thất thoát dữ liệu

1. Giải pháp chống thất thoát dữ liệu DLP là gì?

DLP là viết tắt của cụm từ tiếng Anh Data Loss Prevention – chống thất thoát dữ liệu.

Là bộ giải pháp được kết hợp giữa Công cụ Phần mềm và Quy định/Quy trình nhằm đảm bảo tài sản dữ liệu của Tổ chức, doanh nghiệp không bị đánh cắp, rò rỉ hoặc sử dụng sai mục đích một cách vô tình hoặc cố ý bởi người dùng.

Theo Gartner, chống thất dữ liệu (DLP) là công nghệ, được thiết kế để thực hiện việc kiểm tra nội dung và phân tích ngữ cảnh của dữ liệu được gửi qua các ứng dụng nhắn tin như Email và tin nhắn tức thời, dữ liệu chuyển động qua mạng, dữ liệu sử dụng trên thiết bị điểm cuối được quản lý và dữ liệu ở trạng thái nghỉ (dữ liệu nằm trong máy chủ tệp tin tại chỗ hoặc trong các ứng dụng đám mây và lưu trữ đám mây).

DPL tích hợp nhận diện, Data classification giúp phân loại dữ liệu nhạy cảm, đồng thời theo dõi và phát hiện các hành vi vi phạm những quy định được Tổ chức, doanh nghiệp ban hành, hoặc những vi phạm liên quan đến quy định của chính phủ và một số tiêu chuẩn quốc tế như PCI-DSS, HIPAA, GDPR, v.v…

Data Loss Prevention có thể theo dõi và kiểm soát các hoạt động trên máy tính của người dùng, kiểm tra luồng dữ liệu được gửi qua đường mạng, dò quét các thư mục lưu trữ để thực thi quy định về lưu trữ dữ liệu hoặc kiểm soát việc sử dụng và chia sẻ dữ liệu trên các ứng dụng đám mây như Microsoft 365, One Drive, Google Workspace, v.v…

Giải pháp chống thất thoát dữ liệu thực hiện các phản hồi dựa trên chính sách và quy tắc được xác định để giải quyết nguy cơ rò rỉ vô tình/ngẫu nhiên hoặc để lộ dữ liệu nhạy cảm ra bên ngoài các kênh được phép.

Dựa trên độ bao phủ, công nghệ DLP được phân thành hai loại – Enterprise DLP và Integrated DLP.

Enterprise DLP là các giải pháp toàn diện và có sẵn trong phần mềm tác nhân cho máy tính để bàn và máy chủ, các thiết bị vật lý và thiết bị ảo để giám sát mạng và lưu lượng Email hoặc các thiết bị phần mềm để khám phá dữ liệu.

Về các giải pháp Integrated DLP, nó được giới hạn ở các cổng Web an toàn (SWG), cổng Email an toàn (SEG), sản phẩm mã hóa Email, nền tảng quản lý nội dung doanh nghiệp (ECM), công cụ phân loại dữ liệu, công cụ khám phá dữ liệu và bảo mật truy cập đám mây (CASB) .

 

2. DLP hoạt động như thế nào?

Công nghệ DLP thực hiện hai chức năng cốt lõi là xác định dữ liệu nhạy cảm cần được bảo vệ và ngăn chặn việc thất thoát những dữ liệu đó. Các giải pháp chống thất thoát dữ liệu (DLP) sử dụng nhiều kỹ thuật phân tích nội dung (phát hiện dữ liệu nhạy cảm), có thể được sử dụng để kích hoạt vi phạm chính sách. Một số kỹ thuật này bao gồm:

• Dựa trên quy tắc (Rule-Based)/ Biểu thức chính quy: Kỹ thuật phân tích phổ biến nhất được sử dụng trong DLP liên quan đến một công cụ phân tích nội dung cho các quy tắc cụ thể như số thẻ tín dụng 16 chữ số, số an sinh xã hội 9 chữ số của Hoa Kỳ,… Kỹ thuật này là bộ lọc đầu tiên hiệu quả vì các quy tắc có thể được định cấu hình và xử lý nhanh chóng, tuy vậy nó vẫn có thể có tỷ lệ dương tính giả cao nếu không xác nhận giá trị tổng kiểm để xác định các mẫu hợp lệ.

• Dấu vân tay cơ sở dữ liệu (Database Fingerprinting): Còn được gọi là Khớp dữ liệu chính xác (Exact Data Matching). Cơ chế này xem xét các kết quả khớp chính xác từ kết xuất cơ sở dữ liệu hoặc cơ sở dữ liệu trực tiếp. Mặc dù kết xuất cơ sở dữ liệu hoặc kết nối cơ sở dữ liệu trực tiếp ảnh hưởng đến hiệu suất, đây là một tùy chọn cho dữ liệu có cấu trúc từ cơ sở dữ liệu.

• Đối sánh tệp chính xác (Exact File Matching): Nội dung tệp không được phân tích, thay vào đó là hàm băm. Hàm băm của tệp trùng khớp với dấu vân tay chính xác. Kỹ thuật này cho kết quả với khả năng dương tính giả thấp. Tuy vậy, phương pháp này không làm việc với các tệp có nhiều phiên bản giống nhưng không giống hệt nhau.

• Khớp tài liệu một phần (Partial Document Matching): Tìm kiếm khớp toàn bộ hoặc từng phần trên các tệp cụ thể, chẳng hạn như nhiều phiên bản của biểu mẫu đã được điền bởi những người dùng khác nhau.

• Khái niệm/Từ vựng: Sử dụng kết hợp các từ điển, quy tắc,… Các chính sách này có thể cảnh báo về những ý tưởng hoàn toàn không có cấu trúc, thách thức việc phân loại đơn giản. Nó cần được tùy chỉnh theo giải pháp DLP được cung cấp.

• Phân tích thống kê: Sử dụng máy học hoặc các phương pháp thống kê khác như phân tích Bayes để kích hoạt vi phạm chính sách trong nội dung an toàn. Kỹ thuật này yêu cầu một khối lượng lớn dữ liệu để quét, càng lớn càng tốt, nếu không sẽ dễ bị dương tính giả và phủ định.

• Các danh mục được tạo sẵn (Pre-built Categories): Danh mục được tạo sẵn với các quy tắc và từ điển cho các loại dữ liệu nhạy cảm phổ biến, chẳng hạn như số thẻ tín dụng/bảo vệ PCI (bảo mật dữ liệu thẻ thanh toán), HIPAA (bảo vệ thông tin y khoa),…

Hiện nay, có vô số kỹ thuật được áp dụng mang đến nhiều loại kiểm tra nội dung khác nhau. Dù vậy, cần lưu ý là trong khi nhiều nhà cung cấp DLP đã phát triển công cụ nội dung của riêng họ vẫn có một số nhà cung cấp sử dụng công nghệ của bên thứ ba không được thiết kế cho DLP. Ví dụ như thay vì xây dựng đối sánh mẫu cho số thẻ tín dụng, nhà cung cấp DLP có thể cấp phép công nghệ từ nhà cung cấp công cụ tìm kiếm để đối sánh mẫu với số thẻ tín dụng. 

Bảo vệ dữ liệu là một trong những mối quan tâm hàng đầu khi sử dụng các dịch vụ đám mây. Doanh nghiệp trung bình sử dụng 1.427 dịch vụ đám mây và nhân viên thường tự mình làm quen với các dịch vụ mới. Phân tích dữ liệu sử dụng đám mây trên 30 triệu người dùng, McAfee nhận thấy rằng 18,1% tài liệu được tải lên dịch vụ chia sẻ tệp chứa thông tin nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII), thông tin sức khỏe được bảo vệ (PHI), dữ liệu thẻ thanh toán hoặc sở hữu trí tuệ. Điều này tạo ra các mối quan tâm về tuân thủ. Theo đó, việc sử dụng giải pháp DLP phù hợp trên đám mây bao gồm độ chính xác, giám sát thời gian thực, phân tích dữ liệu trong chuyển động, khắc phục sự cố và xây dựng chính sách mất dữ liệu là điều cần thiết để áp dụng đám mây thành công.