Data loss prevention (DLP) refere-se às estratégias, processos e tecnologias que as equipes de segurança cibernética usam para proteger dados confidenciais contra roubo, perda e uso indevido.
Os dados são um diferencial competitivo para muitas empresas, e a rede corporativa média abriga uma variedade de segredos comerciais, dados pessoais dos clientes e outras informações confidenciais. Os hackers buscam por esses dados para seu próprio benefício, mas as organizações muitas vezes lutam para impedir esses invasores. Pode ser desafiador manter os dados críticos seguros quando centenas, se não milhares, de usuários autorizados acessam-nos diariamente em armazenamento na nuvem e repositórios locais.
As estratégias e ferramentas de DLP ajudam as organizações a evitar vazamentos e perdas de dados, monitorando os dados em toda a rede e aplicando políticas de segurança granular. Dessa forma, as equipes de segurança podem garantir que apenas as pessoas certas possam acessar os dados certos pelos motivos certos.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
Os eventos de perda de dados são frequentemente descritos como violações de dados, vazamento de dados ou exfiltração de dados. Os termos são ocasionalmente usados de forma intercambiável, mas possuem significados distintos.
Uma violação de dados é qualquer ataque cibernético ou outro incidente de segurança em que partes não autorizadas obtêm acesso a dados ou informações confidenciais. Isso inclui dados pessoais (por exemplo, números da Segurança Social, números de contas bancárias, dados de saúde) ou dados corporativos (por exemplo, registros de clientes, propriedade intelectual, dados financeiros). De acordo com o relatório de Custo das violação de dados da IBM de 2023, a média de custo de cada violação é de US$ 4,45 milhões, um aumento de 15% nos últimos três anos.
O vazamento de dados é a exposição acidental de dados confidenciais ou informações confidenciais ao público. A exfiltração de dados é o verdadeiro roubo de dados, quando um invasor migra ou copia os dados de outra pessoa para um dispositivo que está sob o controle do invasor.
A perda de dados ocorre por muitas razões, mas as causas mais comuns incluem:
- Vulnerabilidades de segurança
- Credenciais fracas ou roubadas
- Ameaças internas
- Malware
- Engenharia social
- Roubo de dispositivo físico
- Vulnerabilidades de segurança –fraquezas ou falhas na estrutura, código ou implementação de uma aplicação, dispositivo, rede ou outro ativo de TI que os hackers podem explorar. Isso inclui erros de codificação, configurações incorretas e vulnerabilidades de dia zero (desconhecidas ou como fraquezas ainda não corrigidas).
Credenciais fracas ou roubadas – senhas que os hackers podem facilmente adivinhar, senhas ou outras credenciais (por exemplo, cartões de identificação) que os hackers ou cibercriminosos roubam.
Ameaças internas – usuários autorizados que colocam os dados em risco por descuido ou intenção maliciosa. Os agentes internos maliciosos geralmente são motivados por ganhos pessoais ou por um ressentimento contra a empresa.
Malware–software criado especificamente para prejudicar um sistema de computador ou seus usuários. A forma mais conhecida de malware com risco de dados é o ransomware, que criptografa os dados para que eles não possam ser acessados e exige um pagamento de resgate para a chave de descriptografia (e às vezes um segundo pagamento para evitar que os dados sejam exfiltrados ou compartilhados com outros cibercriminosos).
Engenharia social – táticas que enganam as pessoas para que compartilhem dados que elas não deveriam compartilhar. Ela pode ser tão engenhosa quanto um ataque de phishing que convence um funcionário a enviar por e-mail seus dados confidenciais, ou tão simples quanto deixar um pendrive USB infectado por malware onde alguém o encontrará e o usará.
Roubo de dispositivo físico – roubo de um notebook, smartphone ou outro dispositivo que concede ao ladrão acesso à rede e permissão para acessar os dados.
As organizações criam estratégias formais de DLP para proteger contra todos os tipos de perda de dados. No fundamento de uma estratégia de DLP está um conjunto de políticas de DLP que definem como os usuários devem lidar com os dados corporativos. As políticas de DLP abrangem as principais práticas de segurança de dados, como onde armazenar dados, quem pode acessá-los, como usá-los e como estabelecer os controles de segurança ao seu redor.
Em vez de elaborar uma única política para todos os dados, as equipes de segurança da informação normalmente criam políticas diferentes para os diferentes tipos de dados em suas redes. Isso ocorre porque diferentes tipos de dados geralmente precisam ser tratados de maneira diferente.
Por exemplo, informações de identificação pessoal (PII), como números de cartão de crédito e endereços residenciais, geralmente estão sujeitas a regulamentações de segurança de dados que determinam o que uma empresa pode fazer com elas. Por outro lado, a empresa tem carta branca sobre o que faz com sua propriedade intelectual (IP). Além disso, as pessoas que precisam de acesso às PII podem não ser as mesmas pessoas que precisam de acesso à IP da empresa. Ambos os tipos de dados precisam ser protegidos, mas de maneiras diferentes.
As equipes de segurança criam várias políticas de Prevenção contra Perda de Dados (DLP) detalhadas, para que possam aplicar os padrões de segurança adequados a cada tipo de dado sem interferir no comportamento autorizado dos usuários finais.As organizações revisam essas políticas regularmente para acompanhar as mudanças nos regulamentos relevantes, na rede corporativa e nas operações comerciais.
A aplicação manual das políticas de DLP pode ser desafiadora, se não impossível. Além de diferentes conjuntos de dados estarem sujeitos a regras diferentes, as organizações também devem monitorar cada parte dos dados em toda a rede, incluindo
Dados em uso – dados sendo acessados ou processados (por exemplo, dados sendo usados para análise ou cálculos, ou um documento de texto sendo editado por um usuário final).
Dados em movimento—dados se movendo através de uma rede, como dados sendo transmitidos por um servidor de transmissão de eventos ou um aplicativo de mensagens.
Dados em repouso— dados armazenados, como dados armazenados em um drive na nuvem.
Como a aplicação de políticas DLP exige uma visibilidade contínua dos dados em toda a organização, as equipes de segurança da informação geralmente dependem de ferramentas de software DLP especializadas para garantir que os usuários sigam as políticas de segurança de dados. Essas ferramentas DLP podem automatizar funções importantes como identificar dados confidenciais, rastrear seu uso e bloquear o acesso ilícito.
As soluções de DLP geralmente trabalham em conjunto com outros controles de segurança para proteger os dados. Por exemplo, firewalls podem ajudar a impedir que o tráfego malicioso entre e saia das redes. Os sistemas de gerenciamento de eventos e informações de segurança (SIEM) podem ajudar a detectar comportamentos anômalos que podem apontar para vazamentos de dados. As soluções de detecção e resposta estendidas (XDR) permitem que as organizações iniciem respostas robustas e automatizadas às violações de dados.
Existem três tipos principais de soluções de DLP: rede, endpoint e DLP na nuvem. As organizações podem optar por utilizar um tipo de solução ou uma combinação de várias soluções, dependendo de suas necessidades e de como seus dados são armazenados.
As soluções de DLP de rede se concentram em como os dados migram, entram e saem de uma rede. Muitas vezes, eles usam inteligência artificial (IA) e aprendizado de máquina para detectar fluxos anômalos de tráfego que podem sinalizar um vazamento ou perda de dados. Embora as ferramentas de DLP de rede sejam projetadas para monitorar dados em movimento, muitas delas também podem proporcionar visibilidade aos dados em uso e em repouso na rede.
As ferramentas de DLP de endpoints monitoram a atividade em laptops, servidores, dispositivos móveis e outros dispositivos que acessam a rede. Essas soluções são instaladas diretamente nos dispositivos que monitoram e podem impedir que os usuários realizem ações proibidas nesses dispositivos.Algumas ferramentas de DLP de endpoints também podem bloquear transferências de dados não aprovadas entre dispositivos.
As soluções de DLP na nuvem concentram-se nos dados armazenados e acessados pelos serviços de nuvem. Eles podem verificar, classificar, monitorar e criptografar dados em repositórios na nuvem. Essas ferramentas também podem ajudar a aplicar políticas de controle de acesso a usuários finais individuais e a quaisquer serviços de nuvem que possam acessar os dados da empresa.
As equipes de segurança seguem um processo de quatro etapas para colocar as políticas de DLP em prática, e as ferramentas de DLP desempenham um papel importante em cada etapa.
Primeiro, a organização cataloga todos os seus dados estruturados e não estruturados. Dados estruturados são dados com um formulário padronizado. Geralmente é claramente rotulado e armazenado em um banco de dados. Os números de cartão de crédito são um exemplo de dados estruturados: eles têm sempre 16 dígitos. Dados não estruturados são informações de formato livre, como documentos de texto ou imagens.
As equipes de segurança normalmente usam ferramentas DLP para realizar esta etapa. Muitas vezes, essas ferramentas podem realizar varreduras em toda a rede para localizar dados onde quer que estejam armazenados, na nuvem, em dispositivos físicos, nos dispositivos pessoais dos funcionários e em outros locais.
Em seguida, a organização classifica esses dados, separando-os em grupos com base no nível de confidencialidade e nas características compartilhadas. A classificação dos dados permite que a organização aplique as políticas corretas de DLP aos tipos certos de dados. Por exemplo, algumas organizações podem agrupar dados com base no tipo: dados financeiros, dados de marketing, propriedade intelectual, etc. Outras organizações podem agrupar dados com base em regulamentações relevantes, como o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA), o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e assim por diante.
Muitas soluções de DLP podem automatizar a classificação de dados. Essas ferramentas podem empregar inteligência artificial, aprendizado de máquina e correspondência de padrões para analisar dados estruturados e não estruturados e determinar que tipo de dados são, se são sensíveis e quais políticas de DLP devem ser aplicadas.
Depois que os dados são classificados, a equipe de segurança monitora como eles são tratados. As ferramentas de DLP podem usar várias técnicas para identificar e rastrear dados confidenciais em uso. Essas técnicas incluem:
Correspondência de dados, como comparar o conteúdo do arquivo com os dados confidenciais conhecidos.
Correspondência de padrões, como procurar dados que sigam um determinado formato – por exemplo, um número de nove dígitos no formato XXX-XXXX pode ser um número de previdência social.
Análise de conteúdo, como o uso de IA e machine learning para analisar uma mensagem de e-mail para obter informações confidenciais.
Detectando rótulos, tags e outros metadados que identificam explicitamente um arquivo como sensível.
Quando uma ferramenta DLP detecta o manuseio de dados sensíveis, ela procura por violações de políticas, comportamento anormal, vulnerabilidades do sistema e outros indícios de possíveis perdas de dados, incluindo:
Vazamentos de dados, como um usuário tentando compartilhar um arquivo confidencial com alguém de fora da organização.
Usuários não autorizados que tentam acessar dados críticos ou realizar ações não aprovadas, como editar, apagar ou copiar um arquivo confidencial.
Assinaturas de malware, tráfego de dispositivos desconhecidos ou outros indicadores de atividade maliciosa.
Quando as soluções de DLP detectam violações de políticas, elas podem responder com esforços de correção em tempo real. Os exemplos incluem:
Criptografando dados à medida que eles se movem pela rede
Rescisão de transferências de dados não autorizadas e bloqueio de tráfego malicioso
Aviso aos usuários de que eles estão violando políticas
Sinalização de comportamento suspeito para análise pela equipe de segurança
Acionando desafios de autenticação adicionais antes que os usuários possam interagir com dados críticos
Algumas ferramentas de DLP também ajudam na recuperação de dados, fazendo backup automático de informações para que possam ser restauradas após uma perda.
As organizações também podem tomar medidas mais proativas para aplicar as políticas de DLP. O gerenciamento de acesso e identidade (IAM) eficaz, incluindo políticas de controle de acesso baseadas em funções, pode restringir o acesso aos dados às pessoas certas. O treinamento dos funcionários sobre os requisitos e as melhores práticas de segurança de dados pode ajudar a evitar mais perdas e vazamentos acidentais de dados antes que eles aconteçam.
Normalmente, as ferramentas de DLP apresentam painéis e funções de relatório que as equipes de segurança podem utilizar para monitorar dados sensíveis em toda a rede.Essa documentação permite à equipe de segurança acompanhar o desempenho do programa de DLP ao longo do tempo, para que políticas e estratégias possam ser ajustadas conforme necessário.
As ferramentas de DLP também podem auxiliar as organizações a cumprir com as regulamentações pertinentes, registrando seus esforços em segurança de dados. No caso de um ataque cibernético ou auditoria, a organização pode usar esses registros para provar que seguiu os procedimentos apropriados de tratamento de dados.
As estratégias de DLP costumam estar estreitamente alinhadas com os esforços de conformidade. Muitas organizações elaboram suas políticas de DLP de forma específica para estar em conformidade com regras como o Regulamento Geral sobre a Proteção de Dados (GDPR), a Lei de Portabilidade e Lei de portabilidade e responsabilidade de seguros de saúde (HIPAA) e o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI-DSS).
Diferentes regulamentações impõem diferentes padrões para diferentes tipos de dados. Por exemplo, a HIPAA estabelece regras para informações pessoais de saúde, enquanto a PCI-DSS determina como as organizações lidam com dados de cartões de pagamento. Uma empresa que coleta ambos os tipos de dados provavelmente precisaria de uma política de DLP separada para cada tipo para atender aos requisitos de conformidade.
Muitas soluções de DLP incluem políticas de DLP pré-escritas alinhadas aos vários padrões de segurança de dados que as empresas podem precisar atender.
Proteja dados confidenciais no local e na nuvem. O IBM Security Guardium é uma solução de segurança de dados que se adapta à medida que o ambiente de ameaças muda, fornecendo visibilidade, conformidade e proteção completas em todo o ciclo de vida da segurança dos dados.
Implementado no local ou em uma nuvem híbrida, as soluções de segurança de dados da IBM ajudam você a obter mais visibilidade e insights para investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que um resgate seja pago ao invasor para descriptografar e restaurar o acesso aos dados.
O SIEM (gerenciamento de eventos e informações de segurança) é um software que ajuda as organizações a reconhecer e lidar com possíveis ameaças e vulnerabilidades de segurança antes que elas possam interromper as operações de negócios.