data loss prevention data protection

Estimated reading time: 7 minutes

La data loss prevention (DLP) è un insieme di strumenti e processi utilizzati per garantire che i dati sensibili non vengano persi, usati in modo improprio o diventino accessibili da utenti non autorizzati. Il software DLP classifica i dati regolamentati, riservati e critici per l’azienda e identifica le violazioni delle politiche definite dalle organizzazioni o all’interno di un pacchetto di politiche predefinito. Le politiche predefinite sono in genere dettate dalle conformità normative come HIPAA, PCI-DSS o GDPR.

Una volta che queste possibili violazioni vengono identificate, la DLP applica il “rimedio” con avvisi, crittografia e altre azioni di protezione. Lo scopo è semplice: impedire agli utenti finali di condividere accidentalmente o maliziosamente i dati che potrebbero mettere a rischio l’azienda.

Il software e gli strumenti di data loss prevention monitorano e controllano le attività degli endpoint, filtrano i flussi di dati sulle reti aziendali e monitorano i dati nel cloud per proteggere i dati a riposo, in movimento e in uso. La DLP fornisce anche report per soddisfare i requisiti di conformità e di auditing. Uno strumento molto utile anche per identificare le aree di debolezza e le anomalie per la risposta agli incidenti.

data loss prevention data protection

È necessario usare strumenti per DLP?

La data loss prevention risolve tre obiettivi principali che sono punti dolenti comuni per molte organizzazioni: protezione delle informazioni personali / conformità, protezione della proprietà intellettuale e visibilità dei dati.

Protezione delle informazioni personali / conformità

La tua azienda raccoglie e memorizza informazioni di identificazione personale (PII), informazioni sanitarie protette (PHI) o informazioni sulle carte di pagamento (PCI)? Se è così, è più che probabile che siate soggetti a normative di conformità, come HIPAA (per PHI) e GDPR (per i dati personali dei residenti UE), che richiedono di proteggere i dati sensibili dei vostri clienti.

La data loss prevention può identificare, classificare ed etichettare i dati sensibili e monitorare le attività e gli eventi che circondano quei dati. Inoltre, le capacità di reporting forniscono i dettagli necessari per le verifiche di conformità.

Protezione proprietà intellettuale (IP)

L’azienda detiene importanti proprietà intellettuali e segreti commerciali o di stato che potrebbero mettere a rischio la salute finanziaria e / o l’immagine del vostro marchio in caso di perdita o furto? Una soluzione DLP può classificare la proprietà intellettuale sia in forma strutturata che non strutturata.

Con le politiche e i controlli in atto, è possibile proteggere contro l’esfiltrazione indesiderata di questi dati.

Visibilità dei dati

L’azienda sta cercando di ottenere ulteriore visibilità sul movimento dei dati? Una soluzione DLP aziendale completa può aiutare a vedere e tracciare i vostri dati su endpoint, reti e cloud. Questo fornirà visibilità su come i singoli utenti all’interno della vostra organizzazione interagiscono con i dati. Come abbiamo visto altre volte parlando di ingegneria sociale, sapere come gli utenti si comportano è molto utile. Serve per tracciare un profilo di base e monitorare che non ci siano anomalie che potrebbero indicare compromissione dell’account.

Quelli elencati qui sopra sono casi d’uso principali. Ma la DLP può rimediare a una varietà di altri punti dolenti tra cui le minacce interne, l’analisi del comportamento di utenti ed entità e le minacce avanzate.

data loss prevention servers

Perché adottare la data loss prevention?

Nel Gartner Magic Quadrant for Enterprise DLP del 2017, si è stimato che il mercato totale della data loss prevention avrebbe raggiunto $1,3 miliardi nel 2020. La dimensione è stata di circa $2,64 miliardi. Il mercato DLP non è nuovo, ma si è evoluto per includere servizi gestiti, funzionalità cloud e protezione avanzata dalle minacce, tra le altre cose.

Tutto questo, unito alla tendenza all’aumento delle grosse violazioni aziendali, ha impennato l’adozione della DLP come mezzo per proteggere i dati sensibili. Ecco nove tendenze che stanno guidando l’adozione della DLP.

Crescita dei CISO

Sempre più aziende assumono Chief Information Security Officer (CISO) che riferiscono al CEO. Quest’ultimi vogliono conoscere il piano strategico per la prevenzione delle fughe di dati. Gli strumenti di data loss prevention forniscono chiaro valore in questo senso e dà ai CISO le capacità di reporting necessarie per fornire aggiornamenti regolari.

Evoluzione delle richieste di compliance

I regolamenti globali sulla protezione dei dati cambiano costantemente e ogni organizzazione deve essere adattabile e preparata. Negli ultimi anni i legislatori dell’UE hanno approvato il GDPR. In USA è avvenuto un evento analogo quando lo Stato di New York ha adottato il NYDFS Cybersecurity Regulation. Queste nuove regolamentazioni hanno entrambe inasprito i requisiti di protezione dei dati. Le soluzioni DLP permettono alle organizzazioni la flessibilità di evolvere con i cambiamenti dei regolamenti globali.

Aumento dei “luoghi” in cui i dati sono custoditi

L’aumento dell’uso del cloud, delle complicate reti della supply chain e di altri servizi su cui non si ha più il pieno controllo ha reso più complessa la protezione dei dati. La visibilità degli eventi e del contesto che circonda i dati prima che lascino l’organizzazione è importante per evitare che i vostri dati sensibili finiscano nelle mani sbagliate.

Frequenza dei data breach

Gli avversari degli stati nazionali, i criminali informatici e gli insider malintenzionati prendono di mira i vostri dati sensibili per una serie di motivi, come lo spionaggio aziendale, il guadagno finanziario personale e il vantaggio politico. La data loss prevention può proteggere da tutti i tipi di avversari, malintenzionati o meno.

Negli ultimi anni, ci sono state migliaia di violazioni di dati e molti altri incidenti di sicurezza. Miliardi di record sono stati persi in gigantesche violazioni di dati come: l’errata configurazione del database che ha fatto trapelare quasi 200 milioni di record di elettori statunitensi nel 2015, la violazione dei dati Equifax che ha continuato a ingrandirsi, e la violazione di Yahoo che ha colpito 3 miliardi di utenti. Questi sono solo alcuni dei molti titoli che sottolineano la necessità di proteggere i dati della vostra organizzazione.

data loss prevention breach

Il valore dei dati è molto alto

I dati rubati sono spesso venduti sul Dark Web, dove individui e gruppi di criminali possono acquistarli e usarli a proprio vantaggio. Con alcuni tipi di dati venduti fino a migliaia di dollari, c’è un chiaro incentivo finanziario per il furto di dati.

Ci sono più dati da rubare

La definizione di cosa sia un dato sensibile si è ampliata nel corso degli anni. I dati sensibili ora includono beni intangibili, come i modelli di prezzo e le metodologie di business. Dal 1975 al 2015, la quantità di asset intangibili è cresciuta dal 17% all’84% del valore del mercato, secondo uno studio di Ocean Tomo. Questi beni hanno anche raggiunto un record di $21 trilioni nel 2018. Questo significa che la tua azienda ha molti più dati da proteggere e l’uso di un data loss prevention potrebbe solo aiutare in questo senso.

C’è scarsità di personale specializzato

La carenza di talenti nel campo della sicurezza non si risolverà tanto presto e probabilmente c’è già stato un impatto sulla vostra azienda. Infatti, in un sondaggio ESG e ISSA del 2017, il 43% degli intervistati ha detto che le loro organizzazioni sono state colpite dalla mancanza di personale specializzato. La carenza sta peggiorando con 3,5 milioni di posizioni di sicurezza non occupate previste entro la fine del 2021. I servizi di data loss prevention gestiti agiscono come estensioni remote del vostro team per colmare questa carenza di personale.

Adottare un SIEM per implementare la DLP

Ormai il prodotto di più alto valore di un’azienda sono i dati che gestisce. Il rischio di data exfiltration e conseguente perdita economica e d’immagine è dietro l’angolo. È facile a dirsi che basta proteggere i propri dati, la realtà è che diventa ogni giorno più complicato.

Aumentano i luoghi in cui i dati sono utilizzati e stoccati, le modalità di accesso e di consultazione. La tecnologia, in generale, ci rende più facile la vita esponendo allo stesso tempo i nostri dati. Le infrastrutture aziendali non sono da meno, anzi, proprio per la natura di grande valore dei dati raccolti, sono soggette a un maggiore rischio.

L’adozione di un sistema di sicurezza adeguato è imprescindibile e le soluzioni a disposizione sono molteplici. Noi di SOD, parlando di data loss prevention, consigliamo di adottare un SIEM che comprende i tool necessari per implementare tecniche di DLP. Per una protezione ancora migliore e un controllo più granulare dei dati degli utenti, il SOC as a Service fornisce anche analisi comportamentale eseguita da un sistema di intelligenza artificiale (UEBA).

Per sapere come questi servizi possono aiutare la tua azienda a proteggere i dati e la propria infrastruttura, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Machine learning and cybersecurity: UEBA applications and security

Avoid Ransomware: That’s why it’s best not to take any risks

Data Exfiltration cover
Tempo di lettura: 5 min

Una definizione comune di data exfiltration (esfiltrazione dei dati) è il furto, la rimozione o lo spostamento non autorizzato di qualsiasi dato da un dispositivo.  L’esfiltrazione dei dati implica tipicamente un cybercriminale che ruba dati da dispositivi personali o aziendali, come computer e telefoni cellulari, attraverso vari metodi di cyberattack.

L’incapacità di controllare la sicurezza delle informazioni può portare alla perdita di dati che può causare danni finanziari e di reputazione a un’organizzazione.

Come avviene un data exfiltration?

L’esfiltrazione dei dati avviene in due modi, attraverso attacchi da parte di estranei e attraverso minacce dall’interno. Entrambi sono rischi importanti, e le organizzazioni devono garantire che i loro dati siano protetti individuando e prevenendo l’esfiltrazione dei dati in ogni momento.

Un attacco dall’esterno dell’organizzazione si verifica quando un individuo si infiltra in una rete per rubare dati aziendali o credenziali degli utenti. Questo tipicamente è il risultato di un cyber-criminale che inserisce malware in un dispositivo connesso ad una rete aziendale.

Alcuni filoni di malware sono progettati per diffondersi nella rete di un’organizzazione e infiltrarsi in altri, cercando dati sensibili nel tentativo di estrazione. Altri tipi di malware rimangono dormienti su una rete per evitare di essere rilevati dai sistemi di sicurezza delle organizzazioni fino a quando i dati non vengono estratti in modo sovversivo o le informazioni non vengono gradualmente raccolte nel corso di un periodo di tempo.

Gli attacchi possono derivare da insider malintenzionati che rubano i dati della propria organizzazione e inviano documenti al proprio indirizzo email personale. Tipicamente i dati sono poi venduti a cyber criminali. Possono anche essere causati da un comportamento disattento dei dipendenti che vede i dati aziendali cadere nelle mani di cattivi attori.

Data Exfiltration Hacker with Phone

Tipi di Esfiltrazione Dati

La data exfiltration avviene in vari modi e attraverso molteplici metodi di attacco, per lo più su Internet o su una rete aziendale.

Le tecniche che i cyber criminali usano per estrarre i dati dalle reti e dai sistemi delle organizzazioni stanno diventando sempre più sofisticate. Queste includono: connessioni anonime ai server, attacchi ai Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) tunneling, indirizzi IP (Direct Internet Protocol), attacchi fileless ed esecuzione remota del codice.

Vediamo nel dettaglio alcune tecniche di attacco per sapere di cosa stiamo parlando nello specifico.

1. Ingegneria sociale e attacchi di phishing

Gli attacchi di ingegneria sociale e gli attacchi di phishing sono dei popolari vettori di attacco alla rete. Vengono usati per ingannare le vittime a scaricare malware e a inserire le credenziali del loro account.

Gli attacchi di phishing consistono in email progettate per sembrare legittime e spesso sembrano provenire da mittenti fidati. Solitamente contengono un allegato che inietta malware nel dispositivo. Altre tipologie contengono un link a un sito web che sembra legittimo ma che viene falsificato per rubare le credenziali di accesso inserite. Alcuni aggressori lanciano anche attacchi mirati di phishing per rubare dati da un utente specifico. Spesso i target sono i dirigenti di una società o individui noti.

Per difendersi da questo tipo di attacchi, la cosa migliore è riconoscerli immediatamente e cestinare le email. In un’azienda è possibile aiutare il processo tramite un percorso di formazione ad hoc, basato su dati raccolti internamente all’azienda tramite un test controllato. SOD offre anche questo servizio, se fossi interessato, maggiori informazioni le troverai nella pagina del servizio stesso.

2. Email in uscita

I cyber criminali controllano la posta elettronica per recuperare qualsiasi dato in uscita dai sistemi di posta elettronica delle organizzazioni. I dati recuperati possono essere calendari, database, immagini e documenti di pianificazione. Questi forniscono informazioni sensibili di valore o informazioni utili per il recupero di dati di valore.

3. Download su dispositivi non sicuri

Questo metodo di esfiltrazione dei dati è una forma comune di minaccia accidentale da parte di insider. L’attore dell’attacco accede alle informazioni aziendali sensibili sul suo dispositivo di fiducia, quindi trasferisce i dati su un dispositivo insicuro. Il dispositivo insicuro potrebbe essere un drive esterno o uno smartphone non protetto da soluzioni o politiche di sicurezza aziendali, il che lo mette a rischio di esfiltrazione dei dati.

Anche gli smartphone sono suscettibili all’esfiltrazione dei dati. I dispositivi Android sono vulnerabili all’installazione di malware che prendono controllo del telefono per scaricare applicazioni senza il consenso dell’utente.

4. Upload su dispositivi esterni

Questo tipo di esfiltrazione di dati proviene tipicamente da malintenzionati. L’aggressore interno può estrarre i dati scaricando le informazioni da un dispositivo sicuro, per poi caricarle su un dispositivo esterno (non sicuro). Questo dispositivo esterno potrebbe essere un laptop, uno smartphone, un tablet o una chiavetta USB.

5. Errore umano e comportamenti non sicuri nella rete

Il cloud fornisce agli utenti e alle aziende una moltitudine di vantaggi, ma insieme ci sono significativi rischi di esfiltrazione dei dati. Per esempio, quando un utente autorizzato accede ai servizi cloud in modo insicuro, consente a un malintenzionato una via di accesso da cui può recuperare dati e portarli fuori dalla rete sicura. Anche l’errore umano gioca un ruolo nell’estrazione di dati, perché la protezione appropriata potrebbe non essere più in atto.

Come individuare un attacco data exfiltration

A seconda del tipo di metodo di attacco utilizzato, il rilevamento dell’esfiltrazione dei dati può essere un compito difficile. I cyber criminali che utilizzano tecniche più difficili da rilevare possono essere scambiati per il normale traffico di rete. Questo significa che possono rimanere in agguato nelle reti inosservati per mesi e persino anni. L‘esfiltrazione dei dati spesso viene scoperta solo quando il danno è stato già causato.

Per rilevare la presenza di utenti a rischio, le organizzazioni devono usare strumenti che scoprano automaticamente e in tempo reale il traffico dannoso o insolito.

Uno strumento con questa capacità è il SOC (offerto anche come servizio: SOCaaS) che implementa un sistema di monitoraggio delle intrusioni, così come un sistema automatico che verifica del comportamento degli utenti. Quando il SOC rileva una possibile minaccia, invia un avviso ai team IT e di sicurezza dell’organizzazione che possono intervenire e verificare la situazione.

Il SOC funziona cercando e rilevando le anomalie che si discostano dalla regolare attività di rete. Quindi emettono un avviso o un rapporto in modo che gli amministratori e i team di sicurezza possano esaminare il caso.

Oltre a rilevare le minacce automatiche, le organizzazioni possono anche costruire l’intera sequenza di un evento così come si è verificato, inclusa la mappatura su una kill chain conosciuta o su un framework di attacco.

Utilizzare un SOCaaS, per un’azienda che gestisce dati sensibili, è un vantaggio sotto molti punti di vista. Essendo offerto come servizio, l’azienda non dovrà investire nel mettere in piedi un reparto specializzato IT per il proprio SOC, non dovrà assumere personale aggiuntivo e potrà contare su sistemi di sicurezza sempre aggiornati con operatori qualificati e sempre disponibili.

Per maggiori informazioni, non esitare a contattarci.

Link utili:

Testa la tua azienda con attacchi di phishing etico

SIEM in informatica: la storia

SOAR: cos’e’ e come puo’ essere utile per le aziende

Insider threat: individuarle e combatterle


Contattaci

Customers

Newsletter