Как да защитим данните в покой

Цялата информация, която вашата компания притежава, е важна – в противен случай тя ще бъде изчистена. Трябва да пазите различни данни от загуба, защото без определени записи вашата компания не може да продължи. По същия начин трябва да сте сигурни, че записите не могат да бъдат подправени, за да се създаде невярна информация, и не искате критична информация да бъде разкривана на конкуренти.

Защитата на данните се налага от законодателството, което се разпространява по целия свят. Например в САЩ индустриалните стандарти за сигурност на данните като напр Стандарт за сигурност на данните в сектора на платежните карти (PCI DSS) за сектора на плащанията с кредитни карти и Закон за преносимостта и отчетността на здравното осигуряване (HIPAA) за сектора на здравеопазването се прилагат от законодателството. Има и географски ограничения за използването на данни. Този тип задължения се налагат най-вече от ЕС Общ регламент за защита на данните (GDPR) и Калифорнийски закон за защита на личните данни на потребителите (CCPA).

Какви данни трябва да бъдат защитени?

Стандартите за защита на данните се отнасят конкретно до личната информация на физически лица. Не се отнася до данни за компании или хора, които работят там в качеството им. Има обаче тънка граница между това, което се счита за лична информация (PII).

Пример за данни, считани за PII, е лист за контакт на служител в досиетата на персонала, който включва името на служителя, домашния адрес, личния имейл адрес и телефонния номер. База данни с фирмени контакти обаче, която се състои от името на същото лице и данните за контакт на работното му място, не се счита за PII.

Обхватът на стандартите за поверителност на данните

Възможно е да не се занимавате с грижа за здравето на хората и може да не сте базирани в ЕС. Въпреки това, стандарти за поверителност на данните вълни във веригата за доставки на ИТ, така че фирми, които не са пряко включени в контролирана индустрия или работят в област, обхваната от законодателството, може да установят, че трябва да се съобразят така или иначе.

В почти всички случаи стандартите за сигурност на данните са свързани с PII. Има едно изключение, което е Sarbanes – Закон на Оксли (SOX), който се отнася до записи на финансовите транзакции на предприятия. Ако вашият бизнес никога няма да се докосне до съхранението на PII, тогава няма за какво да се притеснявате.

В ИТ индустрията, верига за доставки на услугите означава, че фирмите, които обслужват други компании, вашата PII, вероятно ще трябва да спазват почти всеки стандарт за сигурност на данните. Това важи особено за доставчиците на управлявани услуги (MSP) и облачните услуги.

Стандартите за защита на данните изискват основният бизнес, който събира и използва PII, да носи отговорност за всички събития на разкриване на данни, независимо къде се случват. Така че компаниите, които търсят услуги, ще дават договори само на доставчици, които отговарят на необходимия стандарт. Ако тичаш облачна услуга с глобален обхват ще загубите голяма част от потенциални клиенти, ако не спазвате всички важни стандарти за сигурност на данните.

Защита на данните

Освен на правни проблеми около PII, ще има други видове информация, които не искате другите да научат. Например, ако обмисляте закупуване на друга компания, тази информация трябва да се пази частна, предимно публично търгувана. Освен това не искате вашите конкуренти да знаят структурата на разходите ви или подробности за текущи проекти за научноизследователска и развойна дейност.

Така че трябва да защитите данните която вашата компания използва, независимо дали се отнася до PII. Състоянията на фирмената информация попадат в три категории:

• Използвани данни
• Данните в покой
• Данните се предават

Всяко от тези състояния има свои специфични изисквания за сигурност. Например, защитата на използваните данни включва съображения за подходяща употреба и контрол на достъпа. В това ръководство се интересуваме особено от данните в покой. Въпреки това, много протоколи и услуги за пренос на данни включват и данни в покой. Например, всички системи за електронна поща включват данни, които първо се изпращат до имейл сървър, от който имейл клиентът на получателя ги изтегля, но не се изтрива за постоянно.

Защита на данните в покой

Обикновено бихте очаквали данни в покой да се съхраняват във файлове на файлови сървъри. Съществуват обаче и други формати и местоположения за съхранение, които също трябва да имате предвид. Например, вие също трябва да защитите базите данни, които в крайна сметка също могат да се съхраняват като файлове. Освен това има различни облачни формати за съхранение да се вземат предвид, като например съхранение на blob, което няма официална файлова структура. И накрая, помислете също, че данните могат да се съхраняват във временни файлове на места, които може да не очаквате, като например в принтери и факс машини.

Дори ако имате очевидна политика да съхранявате файлове само на едно конкретно място, вашият бизнес може да има много други хранилища на PII, за които не знаете. ERP и CRM системите често съхраняват отделни хранилища на данни.

Откриване и класифициране на данни

Първият проблем, когато подхождате към защитата на данните в покой, е да знаете точно където е . Следващата стъпка е да определите кои данни са чувствителен или – например PII или свързани независимо с търговските тайни.

След това можете да изградите стратегия за консолидиране на хранилища за данни. В много случаи приложенията, които използвате, може да не се поддават на правилното премахване на временни файлове. В тези случаи ще трябва да започнете редовно администрация замита за почистване на дискове чрез премахване на тези временни файлове и скрити копия. Някои решения за защита на данните са процедурен а не технически.

Управление на правата за достъп

Правилната защита на данните при използване, в покой и при пренос изисква много фина настройка потребителски акаунти и права за достъп. В това отношение и трите състояния на данните са взаимосвързани. Трябва да сегментирате данните, така че само конкретни роли в конкретни отдели да имат достъп до определени типове данни.

Администраторски акаунти и достъп на техник може да бъде особено главоболие, много устройства, като принтери и преносимо хранилище, може да не са обхванати от права за достъп или се доставят с идентификационни данни по подразбиране и лесно отгатнати, като АДМИНИСТРАТОР/ПАРОЛА.

Мерки за защита на файлове

Основният фокус на вашите усилия за сигурност ще бъде защитата на файловете. Въпреки това системите, които защитават достъпа до файлове, се справят и с проблемите на защитата на използваните данни. Тези се наричат мониторинг на целостта на файла (FIM) услуги.

FIM системите контролират достъпа до конкретни файлове и също така проследяват всички действия, които се извършват върху тяхното съдържание. В някои случаи това е просто услуга за регистриране, която записва потребителския акаунт и датата и часа на достъп. В други случаи FIM включва системи за контрол на версиите които съхраняват пълно копие на файла всеки път, когато се направи промяна, което прави възможно премахването на тези промени чрез връщане към предишна версия.

Във всички версии на FIM, a ясно определени набор от потребителски акаунти е от съществено значение за правилното проследяване на дейността.

FIM може да бъде наложен от криптиране . Това криптиране може да се приложи към отделни файлове или цели папки. Системата за криптиране трябва да позволява на няколко потребители да имат достъп до един и същ файл, без да знаят ключа за криптиране и декриптиране. С други думи, контролът на достъпа, наложен чрез криптиране, трябва да бъде невидим, позволявайки достъп на оторизирани потребители, без те дори да разберат, че е приложено криптиране.

Услугите за криптиране на файлове са особено полезни за блокиране на възможността за злонамерена дейност от страна на ИТ техници – това е от съществено значение при MSP дейности.

Защита срещу разкриване на данни

The повреда на данни е основно въпрос за системи, които защитават използваните данни. Основната цел на услугите, които защитават данните в покой, е да се предотврати разкриването на данни. С други думи, те трябва да блокират кражбата на данни. Независимо дали иска да открадне данни или защо го прави, можете да изключите тези възможности, като контролирате целия потенциал изходни точки .

Има няколко начина, по които можете да адресирате тези точки за извличане на данни. Първо, можете напълно да деактивирате всички дискови устройства и USB портове и да блокирате свързването на компютри, които съдържат хранилища на данни, към принтер.

Защитата от неоторизирани трансфери чрез прикачен файл в имейли или приложения за чат е по-трудна за прилагане. Като цяло ще ви трябва специализиран софтуер за прилагане на адекватен контрол върху точките за ексфилтриране на данни.

Предотвратяване на загуба на данни

След като обмислите специализиран софтуер за блокиране на изходни точки, предотвратяване на загуба на данни , ще откриете, че можете много бързо да приложите по-сложна политика за сигурност. Повечето пакети за предотвратяване на загуба на данни (DLP) ви позволяват да внедрите серия от политики за сигурност едновременно, така че можете да разрешите на потребителите достъп, преместване или копиране на определени типове данни, но не и на други. Например, някои потребители ще имат достъп до някои хранилища на данни, докато други няма.

Комбинациите от това кои потребители могат да правят какво с какъв тип данни са почти безкрайни. Много DLP системи опростяват формулирането на подходяща стратегия за защита на данните, като предоставят шаблони които предварително задават контроли според специфични стандарти за поверителност на данните.

Вашата DLP система също ще трябва да внедри отново вашата управление на правата за достъп структура на разрешенията и категоризирайте вашите екземпляри на данни в своята класификационна система, за да работи ефективно с тези шаблони.

Най-добрите инструменти за защита на данните в покой

Защитата на данните в покой изисква пакет за предотвратяване на загуба на данни.

Нашата методология за избор на инструмент за сигурност за данни в покой

Прегледахме пазара за системи за предотвратяване на загуба на данни и анализирахме инструменти въз основа на следните критерии:

• Система, която включва откриване и класифициране на данни
• Услуга, която ще реорганизира и затегне правата за достъп и потребителските акаунти
• Библиотека от политики за сигурност, които осигуряват съответствие със стандартите за поверителност на данните
• Мониторинг на целостта на файловете, евентуално с включено криптиране на файлове
• Градуирани контроли върху точките за ексфилтрация на данни
• Възможност за безплатна оценка на системата
• Стойност за парите от инструмент, който предоставя всички DLP функции в един пакет и вероятно включва също услуги за откриване на заплахи

Имайки предвид тези критерии за избор, създадохме списък с подходящи DLP пакети.

Ето нашия списък с петте най-добри системи за защита на данните в покой:

1. ManageEngine DataSecurity Plus Този локален софтуерен пакет се предлага като три модула, които прилагат укрепване на сигурността на системата с оценка на системите за управление на правата за достъп и сървър за откриване и класифициране на данни. Друг модул реализира мониторинг на целостта на файловете с опция за налагане на криптиране за защита. И накрая, модулът за предотвратяване на изтичане на данни прилага контрол върху каналите за ексфилтриране на данни, включително USB слотове, имейли и системи за прехвърляне на файлове. Възможно е да зададете политики за сигурност, като изберете предварително зададен шаблон, който отговаря на конкретен стандарт за поверителност на данните. DataSecurity Plus се инсталира на Windows Server, а ManageEngine го предлага на 30-дневен безплатен пробен период .
2. Endpoint Protector Тази услуга съчетава система за предотвратяване на загуба на данни с услуга за откриване на заплахи. Инструментът включва анализ на поведението на потребителите и субектите (UEBA) за откриване на поглъщане на акаунт, проникване и вътрешни заплахи. В допълнение, пакетът се състои от реорганизация на управлението на правата за достъп, откриване на чувствителни данни и класификация, плюс готови шаблони за политики за сигурност за съответствие със стандартите за защита на данните. Други функции в това решение предлагат контрол на канала за ексфилтрация на данни и услуга за наблюдение на целостта на файловете, която включва криптиране на файлове.
   Пакетът се предлага като SaaS платформа, AWS, Google Cloud Platform и Azure или като виртуално устройство. Агентите за крайни точки са налични за Windows, macOS и Linux. Освен това CoSoSys предлага демо на Endpoint Protector.
3. Digital Guardian DLP Това е услуга, базирана на облак, която прилага контроли чрез агенти на устройството, налични за Windows, macOS и Linux. Този пакет включва одит на управление на правата за достъп, откриване и класифициране на данни и предварително зададени политики за сигурност за съответствие със стандартите за поверителност на данните. Тази система търси и защитава интелектуална собственост, както и PII. Той контролира дейностите в имейл системите, USB портовете и принтерите, за да блокира движението на данни.
4. Teramind DLP Облачна платформа с крайни агенти за Windows и macOS. Агентите също могат да се изпълняват върху виртуални машини. Локална версия на DLP сървъра също е достъпна като виртуално устройство. Този пакет включва също проследяване на производителността на служителите, наблюдение на вътрешни заплахи и откриване и класификация на чувствителни данни, които могат да сканират и документират изображения за данни. Включени са и контроли за ексфилтрация.
5. Azure Information Protector Това е услуга на платформата Azure, но може също да контролира дейности, свързани с данни, на други облачни платформи и вашите сайтове. Услугите включват проследяване на копиране на файлове и водни знаци на документи.