Cato Data Loss Prevention (DLP) inspecte le trafic pour identifier et contrôler les informations sensibles lorsque les utilisateurs accèdent à des applications SaaS, privées et à des ressources web. Le service utilise deux méthodes d'inspection complémentaires pour une visibilité et une gouvernance totales. Protection des données en ligne et API de protection des données fonctionnent indépendamment dans différents scénarios mais reposent sur les mêmes moteurs de classification sous-jacents pour garantir une détection cohérente pour tous les types d'utilisateurs.
-
Protection des données en ligne applique l'inspection DLP au trafic en temps réel acheminé par les PoP de Cato. La protection en ligne couvre les utilisateurs gérés et le trafic des sites, en appliquant les règles de DLP sur les applications SaaS, privées et les destinations web. L'inspection TLS est requise pour analyser les sessions chiffrées.
Le flux de trafic en ligne est montré sur le côté gauche de l'exemple ci-dessus.
-
API de protection des données étend la couverture DLP aux applications SaaS autorisées même lorsque le trafic n'est pas acheminé par le cloud de Cato. Elle surveille les actions des utilisateurs telles que les téléchargements de fichiers, les partages et les modifications directement via des intégrations API, fournissant une visibilité pour les appareils non gérés, les connexions en tunnel fractionné ou les utilisateurs qui accèdent aux applications sans le client Cato. L'API inspecte les données en mouvement au sein de la plateforme SaaS mais ne scanne pas les fichiers stockés au repos.
Le flux de trafic hors bande de l'API est montré sur le côté droit de l'exemple ci-dessus.
Le service Cato XOps fournit le contexte opérationnel des événements DLP en corrélant les détections en ligne et API en histoires unifiées. Chaque histoire agrège l'activité liée, telle que l'utilisateur, l'application, la séquence d'actions et la destination, pour montrer comment les données sensibles se sont déplacées à travers l'environnement. Cette corrélation aide les administrateurs à identifier rapidement les partages non intentionnels, les violations de politique ou les manipulations anormales de données sur différents chemins d'accès.
Le moteur DLP de Cato fournit un cadre de classification cohérent utilisé à la fois par Protection des données en ligne et API de protection des données. Chaque méthode d'application utilise des politiques distinctes pour garantir une détection précise des informations sensibles sur tous les chemins d'accès.
Bien que Protection des données en ligne et API de protection des données utilisent des politiques différentes, elles partagent le même cadre de classification des données et les mêmes méthodes de détection pour garantir une détection précise des informations sensibles.
Vous pouvez également assurer une gouvernance fluide des données en intégrant Microsoft Purview et les étiquettes de sensibilité Google. Les clients qui utilisent déjà ces solutions pour la classification et l'étiquetage des données peuvent les exploiter pour la protection en ligne et la prévention des fuites de données.
Pour plus d'informations, voir Utilisation des étiquettes de sensibilité MIP dans votre politique DLP Cato et Utilisation des étiquettes Google avec l'API de protection des données.
Le cadre de classification de Cato est centré sur les profils DLP, qui définissent les identifiants de données représentant le contenu sensible au sein d'une organisation.
- Types de données prédéfinis : Identifiants intégrés pour des informations réglementées et sensibles courantes, telles que les formats PPI globaux, les données financières, les données de santé, les documents RH et les catégories orientées conformité.
- Types de données personnalisés : Identifiants de données définis par l'utilisateur qui étendent la classification aux exigences spécifiques de l'organisation.
Cato applique plusieurs techniques de détection pour identifier avec précision les données sensibles :
- Les modèles d'apprentissage automatique et basés sur LLM, accélérés par le matériel GPU dans le PoP Cato, classifient les documents complets en analysant la signification sémantique et la similitude avec des catégories sensibles connues. Les administrateurs peuvent télécharger et tester des classificateurs LLM personnalisés directement dans le CMA.
- Les classificateurs ML d'images sont des modèles d'apprentissage automatique qui analysent les pixels d'une image pour déterminer ce que l'image contient. Ils font partie du domaine plus large de la vision par ordinateur.
- Les classificateurs de sujets LLM utilisent des modèles basés sur LLM pour comprendre la signification et le contexte du texte. Ils classifient un document en fonction de son sujet, thème, structure ou style d'écriture.
- La Correspondance de Données Exactes (EDM) valide les valeurs sensibles par rapport à des ensembles de données approuvés, réduisant les faux positifs pour le contenu structuré spécifique à l'organisation.
- La Reconnaissance Optique de Caractères (OCR) extrait le texte des images, documents scannés et captures d'écran pour empêcher les tentatives de contournement de l'inspection basée sur le texte.
- La correspondance Regex et par mots-clés détecte les motifs associés aux champs de données réglementés ou aux identifiants internes.
Pour plus d'informations, voir Création de Profils de Contenu DLP, Travailler avec des Types de Données Personnalisés pour DLP, et Travailler avec la Correspondance de Données Exactes (EDM) pour DLP.
La protection des données en ligne applique l'inspection DLP aux données en mouvement lorsque le trafic est routé par les PoP de Cato. Parce qu'elle opère au niveau du réseau, l'inspection en ligne fournit une application déterministe et en temps réel pour le trafic totalement routé par le cloud de Cato.
L'application en ligne s'applique à :
- Utilisateurs du bureau connectés via un site activé par Cato
- Utilisateurs distants connectés via le Client Cato
- Les flux site-à-cloud et site-à-Internet sont inspectés en temps réel
Le DLP en ligne a des exigences et des comportements opérationnels spécifiques qui influencent comment les politiques de données sont appliquées au trafic sur le cloud de Cato :
- L'inspection TLS est requise pour analyser le contenu crypté, comme les sessions HTTPS, afin que le contenu sensible au sein des applications SaaS, privées ou du trafic web puisse être inspecté.
- Les actions d'application, y compris le blocage, l'alerte et la rédaction, sont appliquées immédiatement à mesure que le trafic est évalué.
Pour plus d'informations, voir Qu'est-ce que le service DLP de Cato ?.
L'API de protection des données étend l'inspection DLP aux applications SaaS autorisées lorsque le trafic ne traverse pas le cloud de Cato. Elle utilise des connecteurs spécifiques aux applications pour envoyer l'activité SaaS à un moteur DLP de Cato hébergé dans AWS pour inspection.
Le connecteur API utilise des intégrations basées sur OAuth définies dans Protection des applications et des données API (Sécurité > Protection des applications et des données API). Les applications prises en charge incluent Microsoft 365, Google Workspace, Salesforce, et d'autres. Pour une liste complète des applications prises en charge, voir API de Protection des Données.
L'API de protection des données fournit une visibilité DLP pour :
- Appareils non gérés
- Trafic SaaS en tunnel fractionné ou routé localement
- Utilisateurs sans le Client Cato ou une licence ZTNA
Le moteur API applique la même logique de classification utilisée pour le DLP en ligne, permettant la détection cohérente de contenu sensible pour des actions SaaS telles que :
- Téléversements de fichiers
- Partage externe ou public
- Modifications des permissions
- Modifications impliquant des données réglementées
Les administrateurs peuvent utiliser le Tableau de bord de l'API de protection des données dans le CMA pour surveiller l'activité SaaS et explorer en profondeur les violations pour voir les données et le contexte associés.
Pour plus d'informations, voir Qu'est-ce que l'API de protection des données ?.
L'architecture de protection des données de Cato offre une couverture unifiée pour les appareils gérés et non gérés, indépendamment de la façon dont les utilisateurs se connectent ou où les données sont accessibles. La protection en ligne et API travaillent ensemble pour éliminer les lacunes courantes en visibilité et contrôle. Cela garantit que les données sensibles restent protégées dans chaque scénario d'utilisation, depuis les appareils d'entreprise sur des réseaux de confiance jusqu'aux appareils non gérés accédant directement au SaaS.
Les appareils gérés se situent soit derrière un site connecté à Cato, soit utilisent le client Cato pour envoyer le trafic par le cloud de Cato. Dans ces cas, le DLP en ligne basé dans le PoP inspecte les données en mouvement lorsque les utilisateurs accèdent aux applications SaaS, privées ou aux ressources web.
Les administrateurs peuvent appliquer des restrictions au niveau des applications pour contrôler quelles applications sont inspectées, comment les données sensibles sont traitées, et imposer la connexion aux applications SaaS uniquement lorsque les utilisateurs sont connectés au cloud de Cato.
Les configurations d'accès sélectif permettent uniquement au trafic choisi d'être acheminé par le cloud de Cato, garantissant que l'application du DLP en ligne est spécifiquement appliquée aux flux nécessitant une inspection.
Les appareils non gérés accèdent directement aux applications SaaS via Internet. L'API de protection des données donne aux administrateurs la visibilité sur l'utilisation des données sensibles dans les applications SaaS autorisées.
- Aucune exigence d'installer le Client Cato comme logiciel supplémentaire pour les sous-traitants
- Pour la politique de tunnel fractionné, le trafic qui contourne le Cloud Cato est toujours inspecté pour des données sensibles
- Aucune licence ZTNA supplémentaire requise pour l'API de Protection des Données
Cato sépare la protection des données en ligne et API dans des bases de règles dédiées, permettant aux administrateurs d'adapter les contrôles à la manière dont les utilisateurs accèdent aux applications et où l'inspection est nécessaire. Cette structure garantit que chaque chemin d'application peut être affiné pour une maximum de pertinence et de visibilité.
Les administrateurs configurent séparément les politiques DLP en ligne et API pour garantir que les contrôles s'alignent avec la façon dont les utilisateurs accèdent aux applications et où l'inspection est nécessaire.
- Les règles de politique DLP en ligne sont configurées dans Sécurité > App & Données En Ligne, où les administrateurs définissent quelles applications, utilisateurs et destinations sont sujets à l'inspection en ligne.
- Les règles de politique DLP basées sur l'API sont configurées dans Sécurité > App & Protection des Données API, où les connecteurs SaaS et les règles événementielles sont gérés.
- Les mêmes Profils DLP et Types de Données peuvent être utilisés dans les deux politiques.
Les actions d'application déterminent comment les données sensibles détectées sont traitées et offrent aux administrateurs un contrôle immédiat sur les violations en ligne et basées SaaS.
- Bloquer empêche les données sensibles de quitter l'organisation par le biais de flux inspectés en ligne.
- Alerte enregistre l'événement sans bloquer l'action, permettant une visibilité sur les modèles d'utilisation.
- Mettre en quarantaine est disponible pour les applications SaaS prises en charge via la protection basée sur l'API, déplaçant les fichiers sensibles vers un emplacement restreint pour l'examen par l'admin.
Le CMA inclut des tableaux de bord dédiés pour chaque type de politique afin que les administrateurs puissent rapidement identifier les violations, enquêter sur l'activité et comprendre comment les données sensibles se déplacent à travers l'environnement.
-
Les événements DLP en ligne apparaissent dans le Tableau de bord applications & données en ligne, où les admins peuvent filtrer, trier et enquêter sur les violations. Pour plus d'informations, voir Utilisation du Tableau de bord de protection des données en ligne.
- Vous pouvez voir des preuves judiciaires directement depuis l'événement pour comprendre rapidement le contexte d'un incident, évaluer l'exposition potentielle des données et valider les faux positifs. Pour plus d'informations, voir Investigation des Violations DLP avec des Preuves Forensiques.
- Le Tableau de Bord de l'API de Protection des Données fournit une visibilité sur l'activité spécifique à SaaS, telle que le téléversement de fichiers, le partage ou les modifications de permissions. Pour plus d'informations, voir Utilisation du Tableau de Bord de l'API de Protection des Données.
Le service Cato XOps corrèle les détections en ligne et API en histoires unifiées, permettant aux administrateurs d'enquêter sur les schémas multi-canaux de mouvement de données sensibles.
Cato XOps renforce les enquêtes DLP en corrélant les détections à la fois de Protection des données en ligne et API de protection des données en histoires unifiées. Cette corrélation fournit une vue unique du mouvement des données sensibles à travers le trafic réseau inspecté en ligne dans les PoP de Cato et l'activité SaaS hors bande inspectée via des connecteurs API. L'intégration avec votre DSPM fournit également une visibilité des données au repos, par exemple, dans un centre de données.
Chaque histoire XOps inclut l'utilisateur, l'application, l'action et la destination impliqués dans l'activité. Ce contexte consolidé aide les administrateurs à comprendre comment les données sensibles ont été consultées ou partagées, qu'elles soient passées par le réseau ou au sein d'une plateforme SaaS. Par exemple, les moteurs d'anomalies XOps UEBA analysent les déviations par rapport au comportement typique d'un utilisateur ou d'un appareil pour faire ressortir des risques tels que des téléversements SMB inattendus ou des transferts de fichiers SSH. Ces comportements peuvent indiquer des tentatives de contourner les processus normaux de gestion des données.
Articles connexes :
XOps corrèle également les événements DLP avec les détections d'autres services de sécurité Cato, permettant aux administrateurs d'identifier les attaques multi-vecteurs. Par exemple, IPS peut détecter une activité de logiciels malveillants sur un appareil, indiquant un compromis potentiel. Peu de temps après, le moteur DLP en ligne ou API signale une tentative d'exfiltration de données client depuis le même appareil vers un serveur externe. XOps lie ces détections en une seule histoire qui montre à la fois les indicateurs de logiciels malveillants et la tentative de transfert de données. Cette histoire donne aux équipes SOC une visibilité complète sur l'étendue de la progression de la menace et les aide à répondre plus rapidement et avec précision.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.