La prevención de pérdida de datos (DLP) de Cato inspecciona el tráfico para identificar y controlar información sensible cuando los usuarios acceden a SaaS, aplicaciones privadas y recursos web. El servicio utiliza dos métodos complementarios de inspección para una visibilidad y gobernanza completas. La protección de datos integrado y la API de protección de datos operan independientemente en escenarios diferentes, pero confían en los mismos motores de clasificación subyacentes para garantizar una detección consistente en todos los tipos de usuarios.
-
Protección de Datos Integrado aplica inspección DLP al tráfico en tiempo real enrutado a través de los PoPs de Cato. La protección integrada cubre usuarios gestionados y tráfico de sitios, aplicando reglas DLP en SaaS, aplicaciones privadas y destinos web. La inspección TLS es necesaria para analizar sesiones cifradas.
El flujo de tráfico integrado se muestra en el lado izquierdo del ejemplo anterior.
-
API de Protección de Datos extiende la cobertura DLP a aplicaciones SaaS autorizadas incluso cuando el tráfico no está enrutado a través de la nube de Cato. Monitorea acciones impulsadas por usuarios como cargas de archivos, comparticiones y modificaciones directamente a través de integraciones API, proporcionando visibilidad para dispositivos no gestionados, conexiones de túnel dividido o usuarios que acceden a las aplicaciones sin el Cliente Cato. La API inspecciona datos en movimiento dentro de la plataforma SaaS pero no escanea archivos almacenados en reposo.
El flujo de tráfico fuera de banda de la API se muestra en el lado derecho del ejemplo anterior.
El servicio XOps de Cato proporciona el contexto operativo para los eventos DLP al correlacionar detecciones integradas y API en historias unificadas. Cada historia agrega actividad relacionada, como el usuario, aplicación, secuencia de acciones y destino, para mostrar cómo se movieron los datos sensibles a través del entorno. Esta correlación ayuda a los administradores a identificar rápidamente comparticiones no intencionadas, violaciones de políticas o manejo anormal de datos a través de diferentes rutas de acceso.
El motor DLP de Cato proporciona un marco de clasificación consistente utilizado tanto por la Protección de Datos Integrado como por la API de Protección de Datos. Cada método de aplicación usa políticas separadas para garantizar una detección precisa de información sensible en todos los caminos de acceso.
Aunque la Protección de Datos Integrado y la API de Protección de Datos utilizan políticas diferentes, comparten el mismo marco de clasificación de datos y métodos de detección para asegurar una detección precisa de información sensible.
También puede garantizar una administración de datos sin interrupciones integrándose con Microsoft Purview y Google Sensitivity Labels. Los clientes que ya usan estas soluciones para clasificación de datos y etiquetado pueden aprovecharlas para protección integrada y prevención de filtraciones de datos.
Para más información, consulte Uso de Etiquetas de Sensibilidad MIP en su Política DLP de Cato y Uso de Etiquetas de Google con la API de Protección de Datos.
El marco de clasificación de Cato se centra en Perfiles DLP, que definen los identificadores de datos que representan contenido sensible dentro de una organización.
- Tipos de datos predefinidos: Identificadores integrados para información común regulada y sensible, como formatos PII globales, datos financieros, datos de salud, documentos de recursos humanos, y categorías impulsadas por el cumplimiento.
- Tipos de Datos Personalizados: Identificadores de datos definidos por el usuario que extienden la clasificación a requisitos específicos de la organización.
Cato aplica varias técnicas de detección para identificar con precisión datos sensibles:
- El aprendizaje automático y los modelos basados en LLM, acelerados por el hardware GPU en el PoP de Cato, clasifican documentos completos analizando el significado semántico y la similitud con categorías sensibles conocidas. Los administradores pueden subir y probar clasificadores LLM personalizados directamente dentro del CMA.
- Los clasificadores de imagen ML son modelos de aprendizaje automático que analizan píxeles en una imagen para determinar qué contiene la imagen. Son parte del campo más amplio de la visión por computadora.
- Los clasificadores de temas LLM utilizan modelos basados en LLM para comprender el significado y el contexto del texto. Clasifican un documento basado en su tema, estructura o estilo de escritura.
- La Coincidencia Exacta de Datos (EDM) valida valores sensibles contra conjuntos de datos aprobados, reduciendo falsos positivos para contenido estructurado y específico de la organización.
- El Reconocimiento Óptico de Caracteres (OCR) extrae texto de imágenes, documentos escaneados y capturas de pantalla para prevenir intentos de omitir la inspección basada en texto.
- La coincidencia de patrones y palabras clave detecta patrones asociados con campos de datos regulados o identificadores internos.
Para más información, consulte Creación de perfiles de contenido DLP, Trabajando con tipos de datos personalizados para DLP, y Trabajando con coincidencia exacta de datos (EDM) para DLP.
La protección de datos integrado aplica inspección DLP a los datos en movimiento mientras el tráfico es enrutado a través de los PoPs de Cato. Debido a que opera en la capa de red, la inspección integrada proporciona una aplicación determinista y en tiempo real para el tráfico completamente enrutado a través de la nube de Cato.
La aplicación integrada se aplica a:
- Usuarios de oficina conectados a través de un sitio habilitado por Cato
- Usuarios remotos conectados a través del Cliente Cato
- Los flujos de sitio a nube y de sitio a Internet son inspeccionados en tiempo real
La DLP integrada tiene requisitos operativos específicos y comportamientos que impactan cómo las políticas de datos se aplican al tráfico sobre la nube de Cato:
- La Inspección TLS es requerida para analizar contenido cifrado, como sesiones HTTPS, para que el contenido sensible dentro de SaaS, aplicaciones privadas o tráfico web pueda ser inspeccionado.
- Las acciones de aplicación, incluyendo bloqueo, alerta y redacción, se aplican inmediatamente mientras se evalúa el tráfico.
Para más información, consulte ¿Qué es el servicio DLP de Cato?.
La API de Protección de Datos extiende la inspección DLP a aplicaciones SaaS autorizadas cuando el tráfico no atraviesa la nube de Cato. Utiliza conectores específicos de aplicaciones para enviar la actividad SaaS a un motor DLP de Cato alojado en AWS para inspección.
El conector API utiliza integraciones basadas en OAuth definidas en Protección API de Aplicaciones y Datos (Seguridad > Protección API de Aplicaciones y Datos). Las aplicaciones admitidas incluyen Microsoft 365, Google Workspace, Salesforce y otras. Para una lista completa de aplicaciones admitidas, consulte API de Protección de Datos.
La API de Protección de Datos proporciona visibilidad DLP para:
- Dispositivos no gestionados
- Tráfico de túnel dividido o enrutado localmente de SaaS
- Usuarios sin el Cliente Cato o una licencia ZTNA
El motor API aplica la misma lógica de clasificación utilizada para el DLP integrado, habilitando la detección consistente de contenido sensible para acciones SaaS como:
- Subidas de archivos
- Compartir externo o público
- Cambios de permisos
- Modificaciones que involucran datos regulados
Los administradores pueden usar el Panel de Control de la API de Protección de Datos en el CMA para monitorear la actividad SaaS y profundizar en las violaciones para ver los datos asociados y el contexto.
Para más información, consulte ¿Qué es la API de Protección de Datos??.
La arquitectura de Protección de Datos de Cato proporciona cobertura unificada tanto para dispositivos gestionados como no gestionados, independientemente de cómo los usuarios se conecten o dónde se accedan los datos. La protección integrada y la protección API trabajan juntas para eliminar los huecos comunes de visibilidad y control. Esto asegura que los datos sensibles permanezcan protegidos en cada escenario de uso, desde dispositivos corporativos en redes confiables hasta dispositivos no gestionados accediendo directamente a SaaS.
Los dispositivos gestionados se encuentran detrás de un sitio conectado a Cato o usan el Cliente Cato para enviar tráfico a través de la nube de Cato. En estos casos, el DLP integrado basado en el PoP inspecciona los datos en movimiento mientras los usuarios acceden a SaaS, aplicaciones privadas o recursos web.
Los administradores pueden aplicar restricciones a nivel de aplicación para controlar qué aplicaciones son inspeccionadas, cómo se manejan los datos sensibles y hacer cumplir el inicio de sesión en aplicaciones SaaS solo cuando los usuarios están conectados a la nube de Cato.
Las configuraciones selectivas de entrada permiten que solo el tráfico elegido sea enrutado a través de la nube de Cato, asegurando que la aplicación de DLP integrada se aplique específicamente a los flujos que requieren inspección.
Los dispositivos no gestionados acceden a aplicaciones SaaS directamente a través de Internet. La API de Protección de Datos le da a los administradores visibilidad sobre el uso de datos sensibles en aplicaciones SaaS autorizadas.
- No se requiere instalar el Cliente Cato como software adicional para contratistas
- Para la política de túnel dividido, el tráfico que omite la nube de Cato aún se inspecciona por datos sensibles
- No se requieren licencias ZTNA adicionales para la protección de datos API
Cato separa la Protección de Datos basada en Inline y API en bases de reglas dedicadas, permitiendo a los administradores adaptar controles a cómo los usuarios acceden a las aplicaciones y dónde se requiere inspección. Esta estructura asegura que cada ruta de aplicación pueda ser refinada para máxima relevancia y visibilidad.
Los administradores configuran las políticas DLP de Inline y API por separado para asegurar que los controles se alineen con cómo los usuarios acceden a las aplicaciones y dónde se requiere inspección.
- Las reglas de política DLP integradas se configuran en Seguridad > Aplicación & Datos Integrados, donde los administradores definen qué aplicaciones, usuarios y destinos están sujetos a inspección integrada.
- Las reglas de política DLP basadas en API se configuran en Seguridad > Aplicación & Protección de Datos API, donde se gestionan conectores SaaS y reglas impulsadas por eventos.
- Los mismos perfiles DLP y tipos de datos pueden ser utilizados en ambas políticas.
Las acciones de aplicación determinan cómo se maneja los datos sensibles detectados y proporciona a los administradores control inmediato sobre violaciones tanto integradas como basadas en SaaS.
- Bloqueo previene que los datos sensibles salgan de la organización a través de flujos inspeccionados integrados.
- Alerta registra el evento sin bloquear la acción, permitiendo visibilidad en los patrones de uso.
- Cuarentena está disponible para aplicaciones SaaS admitidas a través de protección basada en API, moviendo archivos sensibles a una ubicación restringida para revisión del administrador.
El CMA incluye paneles de control dedicados para cada tipo de política para que los administradores puedan identificar rápidamente violaciones, investigar actividades y entender cómo los datos sensibles se mueven a través del entorno.
-
Los eventos DLP de Inline aparecen en el Panel de Control Inline de Aplicación y Datos, donde los administradores pueden filtrar, ordenar e investigar violaciones. Para más información, consulte Uso del Panel de Control Inline de Protección de Datos.
- Puede ver evidencia forense directamente desde el evento para entender rápidamente el contexto de un incidente, evaluar la exposición potencial de datos y validar falsos positivos. Para más información, consulte Investigando violaciones DLP con evidencia forense.
- El tablero de API de Protección de Datos proporciona visibilidad en la actividad específica de SaaS, como subidas de archivos, comparticiones o cambios de permisos. Para más información, consulte Usando el Tablero de API de Protección de Datos.
El servicio XOps de Cato correlaciona detecciones integradas y API en historias unificadas, permitiendo a los administradores investigar patrones transversales de movimiento de datos sensibles.
Cato XOps fortalece las investigaciones DLP correlacionando detecciones de ambas Protección de Datos Integrado y la API de Protección de Datos en historias unificadas. Esta correlación proporciona una única vista del movimiento de datos sensibles a través del tráfico de red inspeccionado en línea en los PoPs de Cato y actividad SaaS fuera de banda inspeccionada a través de conectores API. La integración con su DSPM también proporciona visibilidad de datos en reposo, por ejemplo, en un centro de datos.
Cada historia de XOps incluye el usuario, aplicación, acción y destino involucrados en la actividad. Este contexto consolidado ayuda a los administradores a entender cómo se accedió o compartieron los datos sensibles, independientemente de si se movieron a través de la red o dentro de una plataforma SaaS. Por ejemplo, los motores de detección de anomalías de XOps UEBA analizan desviaciones de comportamiento típico de usuario o dispositivo para identificar riesgos como subidas de archivos SMB inesperadas o transferencias de archivos SSH. Estos comportamientos pueden indicar intentos de omitir los procesos de manejo de datos normales.
Artículos relacionados:
XOps también correlaciona eventos DLP con detecciones de otros servicios de seguridad de Cato, permitiendo a los administradores identificar ataques de múltiples vectores. Por ejemplo, IPS puede detectar actividad de malware en un dispositivo, indicando posible compromiso. Poco después, el motor de detección de DLP integrado o API marca un intento de exfiltración de datos de cliente desde el mismo dispositivo a un servidor externo. XOps vincula estas detecciones en una sola historia que muestra tanto los indicadores de malware como el intento de transferencia de datos. Esta historia ofrece a los equipos SOC completa visibilidad sobre el alcance de la progresión de la amenaza y les ayuda a responder más rápida y acertadamente.
0 comentarios
Inicie sesión para dejar un comentario.