Data Loss Prevention: een integrale aanpak

Als we de verschillende bronnen mogen geloven, dan wordt 80% van alle DLP (Data Loss Prevention) breaches veroorzaakt door menselijke fouten van de medewerkers zelf. Ofwel, gewoon door stommiteiten van u en ik. We kunnen allemaal wel voorbeelden opnoemen.

Per ongeluk een e-mail met prijslijst, offerte of misschien zelfs een CV van een kandidaat, doorsturen naar de ‘verkeerde’ Jeroen dankzij de geweldige auto-aanvulfunctie van MS Outlook. Of een laptop die uit de auto gestolen wordt waarvan de harde schijf niet encrypted is. Of nog vaker in het nieuws: een ambtenaar die een USB-stick verloren is met daarop wat gevoelige informatie. Zelf heb ik meerdere malen meegemaakt dat ik gevoelige informatie vond in folders op servers waar ik toegang toe had, of juist toegang had tot folders waar ik geen toegang toe zou moeten hebben.

Die andere 20% dan? 15% van de breaches komt ten laste van de zogeheten ‘malicious insider’ of  ‘insider threat’. Medewerkers die bewust informatie uit de organisatie wegsluizen om verschillende reden. De accountmanager bijvoorbeeld die van job gaat wisselen en een copy van de klanten database kopieert en via een medium naar buiten stuurt (USB, e-mail, WeTransfer, Dropbox).

Dan blijft er nog 5% over en die komt voor rekening van de hacker. De personen of groepen die een onderneming hacken om informatie te stelen.

Waarom dan al die aandacht voor de 20% van de breaches? Want wees eerlijk, als we praten over dataverlies en lekken denken we aan die 20% en niet aan onze eigen stomme fouten. Mijn persoonlijke mening? De impact van de breach of van het lek, op de business.
De impact van mijn foutje met dat e-mailtje is beperkt. Nu is dat ook weer relatief aan de informatie in de mail, maar u snapt wat ik bedoel.

Als een hacker informatie zoekt en wegneemt, kunt u er donder op zeggen dat ook meteen alle gevoelige informatie of in ieder geval, een groot deel daarvan, de organisatie heeft verlaten. Let wel, mijn stomme foutje heeft wel impact op compliancy en alle zaken eromheen. U zal er iets mee moeten doen, zoals melding maken of registreren. Dat kost ook veel tijd en geld. Een integrale aanpak is daarom het primaire advies.

DLP kan op verschillende manieren worden aangepakt. Een integrale aanpak is niet voor iedere onderneming nodig of misschien zelfs betaalbaar. Een DLP-oplossing bestaat uit verschillende features en de leveranciers geven daar vanuit hun huidige portfolio’s invulling aan, zoals u in een voorgaand stuk kan lezen: DLP een container begrip.

Belangrijk is om een klant te helpen vaststellen hoe zij er in de basis voor staan. Wat is voor hen gevoelige data? Waar staat deze en wie heeft daar toegang toe en op welke manier? Via welk medium? Welke maatregelen zijn er nu al genomen? Pas dan kan er een beeld geschetst worden waar de onderneming heen wil in de vorm van beleid en welke maatregelen er eventueel genomen dienen te worden.
Een klant kan dan samen met u als partner bepalen of implementeren van beleid en enkele features op het bestaande portfolio voldoende is, of dat er wellicht naar een integrale oplossing moet worden gekeken.
Zo kan een Proofpoint e-mail security oplossing snel uitgebreid worden met een content filter voor gevoelige inhoud en een licentie voor encryptie. Met SentinelOne kunnen er regels worden aangemaakt op de USB-poorten. Voor sommige klanten voldoende, voor anderen in bijvoorbeeld de financiële en juridische sector bij lange na niet.

Een leverancier als Tanium kan met haar modulen Protect, Integrity monitor en Reveal al heel veel meer. Met Protect kan bijvoorbeeld een laptop ge-‘hardened’ worden door policies op de USB te zetten en harddisk encryptie via Bitlocker te activeren en te beheren en het gebruik van specifieke applicaties te beperken of te verbieden. Met Integrity monitor kunnen kritische folders en bestanden gemonitord worden door watchlists aan te maken op lees-, schrijf-, maak- en verwijderacties en permissiezaken. Reveal identificeert bestanden met gevoelige data in rust door alle endpoints te scannen en kan helpen bij het classificeren van deze data en dus gaan monitoren met Integrity monitor. Data in databases, zogeheten structured data, en enkele filetypes als mailbestanden en .pst files worden door de scan niet in meegenomen.

SecurEnvoy gaat nog een stapje verder. Hun oplossing is een integrale oplossing. Hun scanning methode is niet alleen extensie onafhankelijk, maar kan ook structured data scannen in ODBC gebaseerde databases. Daarnaast biedt SecurEnvoy support voor video, audio en image-bestanden en opties voor data in transit, ofwel in beweging en niet alleen data in rust. Content level fingerprinting, wat data tracking mogelijk maakt van bijvoorbeeld data van laptop naar printer of in copy/paste acties tussen bestanden. OCR-mogelijkheden om beeldmateriaal en ingescande documenten aan exact dezelfde policies te onderwerpen als andere bestanden inclusief redacting en watermarking. SecurEnvoy scant ook alle media en datalocaties; lokaal, fileshares, exchange, Sharepoint, Box, Dropbox, Azure, Office365, Google Drive etc.

SecurEnvoy heeft een volledig classificatie framework opgezet waarbij gebruikers bij het opslaan van nieuw materiaal het document kunnen classificeren met een dubbelcheck van het automatische classificatiesysteem. Al met al een complete DLP-oplossing. Het mooiste ervan is, het is qua pricing model ook toegankelijk geworden voor een MKB-onderneming en is een DLP integrale oplossing en niet meer enkel weggelegd voor de ‘grote jongens’.

Meer weten over DLP? Wij kunnen u daar bij helpen. Heeft u vragen over één van de genoemde producten of u wilt verder sparren over DLP features of DLP als integrale oplossing? Neem dan gerust contact met ons op, wij adviseren en helpen u graag.

Geschreven door Clifford Knook, pre-sales consultant bij Exclusive Networks Nederland

Wilt u graag ,eer informatie over Data Loss Prevention of een van de genoemde vendoren uit dit blog?
Neem contact op via +31 (0)499 462121 of mail naar info@exclusive-networks.nl