يستخدم مصطلح منع فقدان البيانات DLP – Data Loss Prevention لوصف مجموعة من العمليات والسياسات والتقنيات المستخدمة للمحافظة على البيانات و منع تسربها أو فقدانها. يتم ذلك عادة من خلال حماية ومراقبة البيانات في كل حالاتها، التخزين و النقل و المعالجة. علماً أن فقدان البيانات يتم عند الكشف عنها أو تسريبها لشخص أو جهاز غير مصرح له بالاطلاع عليها أو عندما يتعذر الوصول لها بسبب فشل في النظام.
يمكن تطبيق منع فقدان البيانات من خلال استخدام التشفير والقيام بعمليات النسخ الاحتياطي وفرض سياسات وإجراءات أخرى.
الفرق بين فقدان البيانات أو تسريب البيانات
يمكن أن يشير المصطلح DLP إلى Data Loss Prevention أو Data Leak Prevention. وبشكل عام فإن الإجراءات المتبعة سوف تحمي الشركات من كلا الحالتين ( فقدان البيانات وتسريب البيانات).
ما هي أسباب فقدان البيانات؟
يمكن أن يتم فقدان البيانات عبر عدة طرق مختلفة مثل هجمات برامج الفدية ransomware أو التهديدات الداخلية.
هجمات برامج الفدية:
أبسط مثال على فقدان البيانات هو هجمات برامج الفدية ransomware التي تعمل على تشفير كل البيانات ومنع المستخدم من الوصول لها وطلب مبلغ مالي كفدية لاستعادة إمكانية الوصول للبيانات (فك تشفيرها). تحدثنا في مقال سابق عن طرق الحماية والإجراءات التي يجب اتباعها عن الإصابة بهذا النوع من البرمجيات.
تطورت برامج الفدية بشكل كبير ولدى بعض هذه البرامج إمكانية سرقة البيانات قبل تشفيرها. وهذا النوع من الهجمات يسمى بالابتزاز المزدوج حيث يهدف للضغط على الضحية لدفع الفدية من خلال تهديده بنشر أو تسريب الملفات والبيانات السرية عبر الانترنت. وهذه الطريقة تعتبر إحدى طرق فقدان البيانات.
التهديدات الداخلية:
هذا النوع من التهديد يتم من قبل مستخدم له صلاحيات على النظام. ويمكن لهذا المستخدم أن يسيء استخدام صلاحياته للوصول للبيانات الحساسة والحصول عليها وسرقتها من النظام وجعلها في الأيادي الخطأ. بقد يكون الفاعل في هذه التهديدات موظف حانق أو موظف سابق تغيرت مهامه و لم تتم مراجعة صلاحياته لتتسق مع مهامه الجديدة و بالتالي مازال لديه صلاحيات تسمح له بالوصول للبيانات الحساسة وإساءة استخدامها.
كذلك قد تقع هذه الحوادث عن طريق الخطأ فيقوم أحد الموظفين الإفصاح عن معلومات سرية للشركة غبر إرسالها بطريق الخطأ لعنوان بريد إلكتروني غير صحيح بدل إرسالها للمستلم المقصود.
على الرغم من أن المثال الأخير يصنف كخطأ بشري بالفعل ، فقد تكون أنظمة منع وفقدان البيانات (DLP) المتطورة قادرة على استخدام الذكاء الصنعي لتحديد متى قد تكون مثل هذه الأخطاء على وشك الحدوث. في هذه الحالة يتم تنبيه المستخدم عبر سؤاله مثلاً: “هل أنت متأكد؟ (يرجى التحقق من صحة لبريد الإلكتروني للمستلم). بالإضافة إلى ذلك ، يمكن لمثل هذا النظام تنبيه المستويات الإدارية الأعلى عن أي حوادث مشابهة.
أنواع حلول منع فقدان البيانات:
يوجد ثلاث أنواع من حلول منع فقدان البيانات تصنف -وفق نطاق تغطيتها- كما يلي:
- أجهزة المستخدمين-DLP for endpoints
- الموارد السحابية-DLP for Cloud
- الشبكة-DLP for network
النوع الأول Endpoint DLP يغطي الأصول المعلوماتية التالية:
- أجهزة الحاسب العادية والأنظمة الافتراضية VM
- أجهزة التخزين القابلة للإزالة
- تطبيقات الويب
- تطبيقات البريد الإلكتروني
النوع الثاني Cloud DLP يحمي:
- تطبيقات الحوسبة السحابية
- خدمات الحوسبة السحابية
النوع الثالث Network DLP يتضمن:
- الويب والبريد الالكتروني
- نقل الملفات عبر FTP
- مشاركة الملفات عبر الشبكة
تكمن أهمية أنظمة منع فقدان البيانات بأنها تمنع حدوث خرق أو تسريب للبيانات. و يتم هذا من خلال منع انتهاك السياسات الأمنية التي ستؤدي لفقدان البيانات و تسريبها لغير المصرح لهم الإطلاع عليها.
ويمكن للأجهزة المتصلة بالشبكة أن تكون عرضة للهجمات بسبب العديد من الثغرات. وهنا يكمن أيضاً دورأنظمة منع فقدان البيانات DLP لحماية الأجهزة ومنع المهاجم من سرقة المعلومات الحساسة عبر الشبكة. وذلك لامتلاك هذه الأنظمة القدرة على اكتشاف عمليات نقل البيانات المشبوهة العمل على منعها وحظرها وإرسال تنبيهات في الوقت الحقيقي لمدير النظام.
تعمل أنظمة منع فقدان البيانات DLP على حماية الشبكة من خلال مراقبة وحماية البيانات المستخدمة في الوقت الحقيقي في وضع الحركة ووضع الراحة. كما تعمل على مراقبة أجهزة الحاسب والسيرفرات وأجهزة الهواتف المحمولة أو أي جهاز يستخدم هذه البيانات لأغراض التخزين أو النقل. كما أنها قادرة على حماية الشركات التي تقوم بحفظ بياناتها ضمن أنظمة التخزين الخاصة بالحوسبة السحابية Cloud.
هذه الأنظمة تساعد على تلبية متطلبات المعايير مثل المعيار الخاص بعمليات الدفع الالكتروني PCI DSS وقانون حماية المعلومات الشخصية والوثائق الالكترونية PIPEDA والعديد من المعاييرالأخرى. وذلك من خلال تطبيق عناصر التحكم بالحماية والمراقبة والإبلاغ. وهذا الأمر يساعد أيضاً في الاستجابة للحوادث الأمنية وعمليات التحليل الجنائي الرقمي. كما أن هذه الأنظمة تعمل على حماية البيانات المملوكة للشركات والتي يمكن أن تكون بيانات مهمة مرتبطة بمشاريع داخلية أو أكواد برمجية أو مستندات أو وثائق خاصة بعمليات أخرى.
كيف تعمل أنظمة منع فقدان البيانات DLP؟
تتم آلية العمل بالاعتماد على تحليل المحتوى ومراقبته. وهذا يتضمن تحليل المعلومات الوصفية metadata للملفات والمستندات. وتحليل خصائص الملفات مثل الحجم والترويسة والامتداد والمعلومات الأخرى. كما تعمل على قراءة وتحليل محتوى المستندات لتحديد المعلومات الحساسة المحتملة. و من بعض الاستراتيجيات المستخدمة من قبل أنظمة منع فقدان البيانات:
- اكتشاف بنية الملفات
- تحليل حقول checksum للملفات
- التحليل الإحصائي
- التصنيف
ما هو DLP Security؟
هو استراتيجية للحماية تمنع نقل البيانات الحساسة خارج شبكة الشركة. ويتم تحقيق ذلك من خلال السماح لمدراء النظام بفحص بيانات مستخدمي الأجهزة داخل الشركة وهذا ما يتم من خلال الأمور التالية:
- المراقبة: والتي تؤمن إمكانية الوصول للنظام والبيانات
- الفلترة: والتي تعمل على الحد من النشاط المشبوه
- الإبلاغ: هذا الأمر مفيد لعمليات التدقيق والاستجابة للحوادث
- التحليل: والذي يحدد الثغرات الأمنية والسلوك الغير طبيعي
في مقال قادم سنتعرف على أفضل الممارسات والحلول المستخدمة لمنع فقدان البيانات ضمن الشركات.
