Fino ad un recente passato, l’implementazione di un progetto di Data Loss Prevention (DLP) richiedeva una fase propedeutica, normalmente molto lunga, di definizione del dato
In questa fase il cliente o, più spesso, una società di consulenza specializzata, effettuava una analisi approfondita di tutti i dati presenti in azienda, catalogandoli per grado di riservatezza ed importanza. In seguito a questa fase di classificazione, il sistema di DLP si limitava ad implementare delle regole sulla movimentazione del dato definito.
Questo tipo di approccio è sempre stato uno dei limiti principali all’implementazione di un progetto di DLP, in quanto la dinamicità a cui sono soggetti i dati aziendali non sempre consente di collocarli all’interno di procedure precise e codificate. Il costo dell’analisi e il timore di impattare negativamente sulla produttività aziendale completavano il quadro dei deterrenti per un progetto di DLP.
Oggi lo scenario è decisamente cambiato, sia dal punto di vista dell’approccio, con l’avvento di nuove tecnologie che hanno rivoluzionato il modo di accedere al dato, come i dispositivi mobili, sia dal punto di vista della stessa struttura del dato. I cosiddetti Big Data rappresentano una delle sfide principali alla classificazione, in quando la loro stessa natura di dati non strutturati e la loro dimensione potenziale rendono impossibile una loro catalogazione.
Di contro però, le moderne minacce avanzate che, convenzionalmente, vengono definite Advanced Persistent Threat (APT), sono in continua evoluzione e mirano al patrimonio informativo aziendale. Sebbene l’aumento della tecnologia abbia creato delle vere e proprie autostrade per le minacce, spesso queste ultime non hanno come punto iniziale la tecnologia.
I cyberthreats hanno alla loro base le azioni di persone che utilizzano la tecnologia nel modo sbagliato o ne abusano, soprattutto quando hanno accesso a dati riservati. Ogni anno le aziende investono una quantità di denaro importante in tecnologie che tentano di proteggerci dai “bad guy”, attraverso algoritmi basati su signature che, per loro stessa natura, non possono analizzare il contesto dell’incidente o le reali intenzioni dell’utente. Queste tecnologie, che per loro natura ignorano i contenuti, impediscono un’analisi ed una risposta in tempo reale agli incidenti ed agli attacchi. Websense Triton APX non si focalizza solo sui pattern degli attacchi, ma analizza i comportamenti dell’utente per mettere in evidenza violazioni delle policy, violazioni delle compliance o traffico anomalo dagli endpoint che deve far pensare ad una compromissione della riservatezza dei dati.
Questo tipo di approccio consente di riempire il vuoto lasciato dai tradizionali strumenti di DLP che si focalizzano unicamente sul dato. I dati sono certamente importanti, ma le aziende faticano ad identificare i propri dati, classificarli per ordine di importanza, taggarli, relegarli in alcune cartelle e costruire la soluzione di DLP attorno ad essi.
Solo leggendone la lista è facile scoraggiarsi, tanto più che solo poche aziende possono approcciare il tema in questo modo. Tuttavia gli insider threat sono un problema legato al comportamento umano e la soluzione è quella di prestare più attenzione al comportamento dell’utente.
Websense Triton APX offre una strategia attiva per proteggere i dati critici monitorando i flussi tecnicamente osservabili ed includendo, non solo i repository in cui si trovano i dati e la loro movimentazione, ma anche le azioni dell’utente che accede, sposta o altera i dati, inclusi gli eventi precursori.
Questa tecnologia prende il nome di Data Threat Protection (DTP) o Insider Threat Protection (ITP). Con pochi semplici click l’azienda può attivare policy di rilevamento specifico che indirizzano:
Indicatori di compromissione: policy che identificano sia traffico che configurazioni a livello endpoint che possono indicare workstation o reti compromesse, come ad esempio malware communication, file criptati e file contenenti password.
Attività sospetta da parte degli utenti: policy per la rilevazione di specifiche attività come l’invio di comunicazioni ai competitor, uso ripetuto di formati di file sconosciuti o comunicazione di password. Il sistema è in grado di rilevare anche flussi di traffico anomalo da parte degli utenti, sia in temini di volume che di orari di trasmissione.
Utenti Insoddisfatti: policy per la rilevazione di utenti che possono mettere a rischio i dati aziendali perché hanno motivi di risentimento nei confronti dell’azienda o perché sono prossimi alle dimissioni.
Indicatori di rischio personalizzati: policy da personalizzare che contiene indicatori di un utilizzo anomalo delle risorse online da parte degli utenti, che potrebbe rappresentare un segnale di rischio per la riservatezza dei dati aziendali.
Websense Triton APX è a tutti gli effetti un Sistema proattivo di protezione delle informazioni, semplice da implementare e che non richiede (nel suo approccio DTP) alcuna complessa attività di data classification o di finger print dei dati stessi.