Prevención de Pérdida de Datos (II). Características de la Tecnología DLP

La Prevención de Pérdida de Datos (Data Loss Prevention o DLP) da nombre a una solución o conjunto de soluciones que identifica, monitoriza y protege los datos de una organización, especialmente en lo relativo a su dimensión de confidencialidad.

En un post anterior vimos que información se pierde y los beneficios de aplicar DLP:
http://ricardo-sb.blogspot.com.es/2016/08/prevencion-de-perdida-de-datos-i-que-es.html

Ahora empezaremos a ver en qué consisten esas tecnologías DLP. Pero primero algunas definiciones para tener claro de qué hablamos.

Definiciones


Falso positivo: Son errores al detectar información sensible que en realidad no lo es. A veces se denomina “falso negativo” a la no detección de información sensible que es descubierta en otra capa de seguridad superior.

Honeypot: es un señuelo puesto en una red para atraer al atacante y obtener información del ataque.

Huella digital o fingerprint: Mediante un algoritmo se genera un conjunto de bytes que es la huella digital (no hay otra igual) de un documento o conjunto de datos. Esta información se puede almacenar incluso en el mismo documento, de forma que es más sencillo detectar si hay modificaciones y si está clasificado como confidencial.

Expresiones regulares: Una expresión regular o “regex” es una cadena de caracteres que expresa un patrón de búsqueda en base a una serie de reglas descritas.

Metadatos: Son datos estructurados que describen los datos no estructurados, que generalmente se almacenan en el mismo documento.

Análisis Bayesiano: Esencialmente consiste en que las evidencias se usan para actualizar la probabilidad de que algo sea cierto.

Machine Learning: Solapado con la estadística, y basado en el análisis de datos, el software va aprendiendo a medida que se proporcionan más datos estadísticos. En el caso de los DLP, en lo relativo a los motores de búsqueda.

File Cracking: Es la tecnología capaz de profundizar en los distintos formatos de nivel de un fichero (por ejemplo, una hoja de cálculo embebida en un fichero Word que ha sido comprimido).

SIEM (Security Information and Event Management): Es un producto de software que esencialmente gestiona los LOGs y alertas de diversas herramientas (por ejemplo, herramientas DLP) . Suelen disponer de una consola centralizada y generar informes.

IAM (Identity Access management): Es un marco (framework) que facilita la administración de identidades digitales (esencialmente, los usuarios y sus permisos).

Categorización de medidas DLP


Medidas básicas de seguridad
Protegen los ordenadores contra atacantes externos e internos: son por ejemplo los cortafuegos, IDSs (Sistemas de Detección de Intrusos) y el antivirus. Otra forma de actuar es también usar “thin clients” o escritorios remotos como terminales, que actúan en una arquitectura cliente-servidor y no graban nada en local.

Medidas avanzadas de seguridad
Estudian y monitorizan al usuario y su trabajo usando el aprendizaje (Machine Learning) y algoritmos de razonamiento, para detectar por ejemplo el acceso inadecuado a datos o el intercambio de emails fuera de lo normal.
Incluso se pueden proponer honeypots (trampas) para detectar acceso interno o externo autorizados pero con malas intenciones. 

Soluciones diseñadas para DLP
Las soluciones DLP van un paso más allá, y deben ser capaces de detectar la copia o envío de datos considerados sensibles, de manera intencionada o no, realizada por personas y procesos que en general deben tener acceso a esos datos sensibles. 



Tipos de herramientas DLP


Aunque no podemos decir que las herramientas DLP estén siempre en puntos concretos de una organización, si se pueden categorizar dos tipos esenciales:

DLP basados en red (network-based systems)

Monitorizan los datos en tránsito (data in motion), y suelen colocarse en segmentos particulares, por ejemplo para controlar el correo web, la mensajería instantánea, las redes sociales, o como puerta de entrada a servicios o servidores especializados (intranet, base de datos, servidores Web…)

DLP basados en host (endpoint-based systems)

Residen y se ejecutan en los equipos de usuario y servidores (normalmente en todos los equipos que tienen acceso a los datos que queremos proteger), y actúan sobre los datos de todo tipo (datos en tránsito que llegan, datos en uso y datos en reposo).

Pueden evitar que los datos salgan, controlando y monitorizando el acceso a cualquier medio, físico o lógico, incluso controlando el acceso antes de que los datos se encripten. Pueden acceder también a la información entrante y saliente en las comunicaciones, permitiendo controlar emails y mensajes instantáneos antes de que se archiven, y muchas veces pueden incluso bloquear y avisar en tiempo real de los intentos de transmitir información confidencial.   


Características con valor diferencial en una solución DLP


  • Debe proteger datos en reposo, en red y en uso
  • Debe permitir el análisis contextual de negocio, con las herramientas necesarias.
  • Debe ser precisa en detectar la información sensible ¿Genera falsos positivos? ¿Ignora datos que no debería?
  • Debe ser independiente de los repositorios donde se encuentra la información.
  • Debe manejar muy eficientemente las tecnologías del file cracking.
  • Las políticas deben aplicarse en un entorno de red corporativa y en los puestos de usuario (agente), actuando incluso sin conexión.
  • Debe integrarse con otras herramientas, como cifrado, autenticación, MDM (administración de dispositivos móviles), etc.

Es deseable que también sea una solución centralizada y única, aunque no siempre es lo más adecuado para todos los costes y tamaños de las organizaciones:

  • Sería bueno disponer de un portal único de monitorización a donde lleguen las incidencias, e incluso donde se puedan estudiar los movimientos de datos pasados.
  • También sería ideal una solución a modo de consola centralizada donde se puedan definir políticas granulares, flexibles y adaptables para todas las herramientas DLP instaladas.

Tipología de Soluciones DLP


La solución DLP completa.

La solución completa cumple todas las características antes mencionadas, han sido diseñadas con grandes organismos o corporaciones en mente. El coste es elevado (suelen requerir servidores potentes especializados) y la escalabilidad es relativa al tamaño más que a la funcionalidad, aunque esta tendencia ha ido cambiando en los últimos años, y también se ofrecen productos DLP basados en dispositivos que pueden ser adecuados también para organismos o empresas no tan grandes.

Las soluciones completas DLP suelen disponer de 3 tipos de productos DLP:

  • EL agente de servidores y equipos de usuario, que protege los datos en uso y escanea  los datos en reposo.
  • El agente de red, que puede ser un dispositivo, y que protege los datos en red. 
  • Las consolas de administración, que permiten:
    • Administrar los agentes
    • Administrar las políticas existentes o generar nuevas
    • Generar informes
    • Gestionar una base de datos de incidentes
    • Gestionar un servicio de cuarentena de posible información sensible
Esquema de una solución DLP

Herramientas DLP integradas

En el mercado también hay muchos productos que son utilidades DLP focalizadas en una solución concreta (por ejemplo, el control de emails), pero no pueden orientarse a la protección de datos o contenidos en general: no son verdaderas soluciones completas de protección de pérdida de datos. Sin embargo, pueden ser suficientes en según qué organizaciones, y una puerta de entrada a tecnologías DLP más asequible que las soluciones completas para otras.

Algunos distribuidores ofrecen también una recopilación de utilidades DLP integradas, de manera que pueda escalarse en coste e implementación de forma sencilla. Esta idea de la escalabilidad requiere normalmente un esfuerzo de integración y mantenimiento/configuración mayor al tratarse en realidad de herramientas distintas que se han organizado en un paquete común, y aunque algunas de estas soluciones de integración disponen de consolas centralizadas, no tienen la misma funcionalidad, y deben ser completadas con utilidades adicionales, por ejemplo, del tipo SIEM (gestión administrada de LOGs de seguridad).

En la próxima entrega hablaremos de las maneras de identificar la información sensible.