A Prevenção de Perda de Dados (DLP) da Cato inspeciona o tráfego para identificar e controlar informações sensíveis à medida que os usuários acessam SaaS, aplicações privadas e recursos web. O serviço utiliza dois métodos complementares de inspeção para visibilidade total e governança. Proteção de Dados Inline e API de Proteção de Dados operam de forma independente em diferentes cenários, mas dependem dos mesmos motores de classificação subjacentes para garantir uma detecção consistente para todos os tipos de usuários.
-
Proteção de Dados Inline aplica inspeção DLP ao tráfego em tempo real roteado através dos PoPs da Cato. A proteção inline abrange usuários gerenciados e tráfego de sites, impondo regras de DLP em destinos SaaS, aplicações privadas e web. Inspeção TLS é obrigatória para analisar sessões criptografadas.
O fluxo de tráfego inline é mostrado no lado esquerdo do exemplo acima.
-
API de Proteção de Dados estende a cobertura DLP para aplicativos SaaS autorizados mesmo quando o tráfego não é roteado através da Nuvem Cato. Monitora ações realizadas pelos usuários, como uploads de arquivos, compartilhamentos e modificações diretamente por meio das integrações de API, fornecendo visibilidade para dispositivos não gerenciados, conexões em túnel dividido, ou usuários que acessam os aplicativos sem o Cliente Cato. A API inspeciona dados em movimento dentro da plataforma SaaS, mas não escaneia arquivos armazenados em repouso.
O fluxo de tráfego fora de banda da API é mostrado no lado direito do exemplo acima.
O serviço Cato XOps fornece o contexto operacional para eventos DLP ao correlacionar detecções inline e de API em histórias unificadas. Cada história agrega atividade relacionada, como o usuário, aplicativo, sequência de ações e destino, para mostrar como dados sensíveis se movimentaram pelo ambiente. Esta correlação ajuda os administradores a identificar rapidamente compartilhamentos não intencionais, violações de política ou manuseio anormal de dados através de diferentes caminhos de acesso.
O motor DLP da Cato fornece uma estrutura de classificação consistente usada tanto pela Proteção de Dados Inline quanto pela API de Proteção de Dados. Cada método de aplicação usa políticas separadas para garantir a detecção precisa de informações sensíveis através de todos os caminhos de acesso.
Embora Proteção de Dados Inline e API de Proteção de Dados usem políticas diferentes, elas compartilham a mesma estrutura de classificação de dados e métodos de detecção para garantir detecção precisa de informações sensíveis.
Você também pode garantir governança de dados transparente ao integrar com Microsoft Purview e Rótulos de Sensibilidade do Google. Clientes que já usam essas soluções para classificação e rotulagem de dados podem aproveitá-las para proteção inline e prevenção de vazamento de dados.
Para mais informações, consulte Usando Rótulos de Sensibilidade MIP na sua Política DLP Cato e Usando Rótulos do Google com a API de Proteção de Dados.
A estrutura de classificação da Cato está centrada em Perfis de DLP, que definem os identificadores de dados que representam conteúdo sensível dentro de uma organização.
- Tipos de dados predefinidos: Identificadores embutidos para informações comuns reguladas e sensíveis, tais como formatos globais de PII, dados financeiros, dados de saúde, documentos de RH e categorias impulsionadas por conformidade.
- Tipos de Dados Personalizados: Identificadores de dados definidos pelo usuário que expandem a classificação para requisitos específicos da organização.
A Cato aplica várias técnicas de detecção para identificar com precisão dados sensíveis:
- Modelos de aprendizado de máquina e LLM, acelerados por hardware GPU no PoP da Cato, classificam documentos completos analisando significado semântico e semelhança com categorias sensíveis conhecidas. Administradores podem fazer upload e testar classificadores LLM personalizados diretamente no CMA.
- Classificadores ML de imagem são modelos de aprendizado de máquina que analisam pixels em uma imagem para determinar o que a imagem contém. Eles fazem parte do campo mais amplo de visão computacional.
- Classificadores de tópicos LLM usam modelos baseados em LLM para entender o significado e o contexto de texto. Eles classificam um documento com base em seu tópico, tema, estrutura ou estilo de escrita.
- A correspondência exata de dados (EDM) valida valores sensíveis contra conjuntos de dados aprovados, reduzindo falsos positivos para conteúdo estruturado e específico de organizações.
- O reconhecimento óptico de caracteres (OCR) extrai texto de imagens, documentos escaneados e capturas de tela para impedir tentativas de ignorar a inspeção baseada em texto.
- Correspondência de Regex e palavras-chave detecta padrões associados a campos de dados regulados ou identificadores internos.
Para mais informações, veja Criando Perfis de Conteúdo de DLP, Trabalhando com Tipos de Dados Personalizados para DLP, e Trabalhando com Correspondência Exata de Dados (EDM) para DLP.
Proteção de Dados Inline aplica inspeção DLP a dados em movimento enquanto o tráfego é roteado através dos PoPs da Cato. Porque opera na camada de rede, a inspeção inline fornece aplicação determinística e em tempo real para o tráfego totalmente roteado através da Nuvem Cato.
A aplicação inline aplica-se a:
- Usuários do Escritório conectados através de um site habilitado para Cato
- Usuários remotos conectados através do Cliente Cato
- Os fluxos site-para-nuvem e site-para-Internet são inspeccionados em tempo real
DLP inline tem requisitos operacionais específicos e comportamentos que impactam como as políticas de dados são aplicadas ao tráfego sobre a Nuvem Cato:
- Inspeção TLS é necessária para analisar conteúdo criptografado, como sessões HTTPS, permitindo que conteúdo sensível dentro de SaaS, aplicações privadas ou tráfego web seja inspecionado.
- Ações de aplicação, incluindo bloquear, alertar e remover, são aplicadas imediatamente à medida que o tráfego é avaliado.
Para mais informações, consulte O que é o Serviço DLP Cato?.
API de Proteção de Dados estende a inspeção DLP a aplicações SaaS autorizadas quando o tráfego não atravessa a Nuvem Cato. Utiliza conectores específicos de aplicação para enviar atividade SaaS para um motor DLP da Cato hospedado na AWS para inspeção.
O conector da API usa integrações baseadas em OAuth definidas em Proteção de Aplicativos & Dados API (Segurança > Proteção de Aplicativos & Dados API). Aplicativos suportados incluem Microsoft 365, Google Workspace, Salesforce, entre outros. Para uma lista completa de aplicativos suportados, veja Proteção de Dados API.
API de Proteção de Dados fornece visibilidade DLP para:
- Dispositivos não gerenciados
- Tráfego SaaS roteado localmente ou split-tunnel
- Usuários sem Cliente Cato ou licença ZTNA
O motor da API aplica a mesma lógica de classificação usada no DLP inline, possibilitando a detecção consistente de dados sensíveis para ações SaaS como:
- Uploads de arquivos
- Compartilhamento externo ou público
- Mudanças de permissão
- Modificações envolvendo dados regulados
Os administradores podem usar o Painel de Controle API de Proteção de Dados no CMA para monitorar atividade SaaS e aprofundar-se nas violações para visualizar os dados e contexto associados.
Para mais informações, consulte O que é a API de Proteção de Dados?.
A arquitetura de Proteção de Dados da Cato fornece cobertura unificada para ambos dispositivos gerenciados e não gerenciados, independentemente de como os usuários se conectam ou onde os dados são acessados. A proteção Inline e API trabalham juntas para eliminar lacunas comuns de visibilidade e controle. Isso garante que os dados sensíveis permaneçam protegidos em todos os cenários de uso, desde dispositivos corporativos em redes confiáveis até dispositivos não gerenciados acessando SaaS diretamente.
Dispositivos gerenciados ou ficam atrás de um site conectado à Cato ou utilizam o Cliente Cato para enviar tráfego através da Nuvem Cato. Nestes casos, o DLP inline baseado no PoP inspeciona dados em movimento à medida que os usuários acessam SaaS, aplicações privadas ou recursos web.
Os administradores podem aplicar restrições a nível de aplicativo para controlar quais aplicativos são inspecionados, como os dados sensíveis são tratados e impor login em aplicativos SaaS apenas quando os usuários estão conectados à nuvem Cato.
Configurações de rampa seletiva permitem que apenas o tráfego escolhido seja roteado através da Nuvem Cato, garantindo que a aplicação DLP inline seja especificamente aplicada aos fluxos que requerem inspeção.
Dispositivos não gerenciados acessam aplicações SaaS diretamente pela Internet. A API de Proteção de Dados dá aos administradores visibilidade do uso de dados sensíveis em aplicações SaaS autorizadas.
- Nenhuma necessidade de instalar o Cliente Cato como software adicional para contratados
- Para a política de Túnel Dividido, o tráfego que ignora a nuvem Cato ainda é inspecionado para dados sensíveis.
- Nenhuma licença ZTNA adicional necessária para Proteção de Dados API
A Cato separa a Proteção de Dados Inline e baseada em API em bases de regras dedicadas, permitindo que os administradores adaptem os controles a como os usuários acessam as aplicações e onde a inspeção é necessária. Esta estrutura garante que cada caminho de aplicação possa ser refinado para máxima relevância e visibilidade.
Os administradores configuram políticas de DLP Inline e API separadamente para garantir que os controles estejam alinhados com como os usuários acessam aplicativos e onde a inspeção é necessária.
- Regras de política DLP Inline são configuradas em Segurança > Aplicativo & Dados Inline, onde administradores definem quais aplicações, usuários e destinos estão sujeitos a inspeção inline.
- Regras de política DLP baseadas em API são configuradas em Segurança > Aplicativo & Proteção de Dados API, onde conectores SaaS e regras baseadas em eventos são geridas.
- Os mesmos Perfis de DLP e Tipos de Dados podem ser usados em ambas políticas.
Ações de aplicação determinam como os dados sensíveis detectados são tratados e fornecem aos administradores controle imediato sobre violações tanto inline quanto baseadas em SaaS.
- Bloquear impede que dados sensíveis saiam da organização através dos fluxos inspeccionados inline.
- Alerta registra o evento sem bloquear a ação, permitindo visibilidade dos padrões de uso.
- Quarentena está disponível para aplicativos SaaS suportados via proteção baseada em API, movendo arquivos sensíveis para uma localização restrita para revisão do administrador.
O CMA inclui dashboards dedicados para cada tipo de política para que os administradores possam identificar rapidamente violações, investigar atividades e entender como os dados sensíveis se movimentam pelo ambiente.
-
Eventos DLP inline aparecem no Painel de Aplicativos & Dados Inline, onde os administradores podem filtrar, ordenar e investigar violações. Para mais informações, consulte Usando o Painel de Controle Inline de Proteção de Dados.
- Você pode visualizar evidências forenses diretamente do evento para rapidamente entender o contexto de um incidente, avaliar potencial exposição de dados e validar falsos positivos. Para mais informações, veja Investigando Violações de DLP com Evidências Forenses.
- O Painel de Controle API de Proteção de Dados fornece visibilidade em atividades específicas de SaaS, como uploads de arquivos, compartilhamentos ou mudanças de permissão. Para mais informações, veja Usando o Painel de Controle API de Proteção de Dados.
O serviço Cato XOps correlaciona detecções inline e de API em histórias unificadas, permitindo que os administradores investiguem padrões de movimentação de dados sensíveis entre canais.
O Cato XOps fortalece investigações DLP ao correlacionar detecções de Proteção de Dados Inline e API de Proteção de Dados em histórias unificadas. Essa correlação fornece uma única visão do movimento dos dados sensíveis através do tráfego de rede inspecionado em-linha em PoPs da Cato e atividade SaaS fora de banda inspecionada através de conectores API. Integrar com seu DSPM também fornece visibilidade de dados em repouso, por exemplo, em um centro de dados.
Cada história do XOps inclui o usuário, aplicação, ação e destino envolvidos na atividade. Este contexto consolidado ajuda os administradores a entender como os dados sensíveis foram acessados ou compartilhados, independentemente de terem se movido pela rede ou dentro de uma plataforma SaaS. Por exemplo, os motores de anomalia XOps UEBA analisam desvios do comportamento típico de usuários ou dispositivos para evidenciar riscos como uploads SMB inesperados ou transferências de arquivos SSH. Esses comportamentos podem indicar tentativas de ignorar os processos normais de manipulação de dados.
Artigos Relacionados:
O XOps também correlaciona eventos DLP com detecções de outros serviços de segurança Cato, permitindo que administradores identifiquem ataques multivetoriais. Por exemplo, o IPS pode detectar atividade de malware em um dispositivo, indicando potencial comprometimento. Logo em seguida, o motor DLP inline ou de API marca uma tentativa de exfiltração de dados de clientes do mesmo dispositivo para um servidor externo. O XOps une essas detecções em uma única história que mostra tanto os indicadores de malware quanto a tentativa de transferência de dados. Essa história dá às equipes SOC total visibilidade do escopo da progressão da ameaça e ajuda a responder de forma mais rápida e precisa.
0 comentário
Por favor, entre para comentar.