Cato Предотвращение утечки данных (DLP) инспектирует трафик, чтобы идентифицировать и контролировать конфиденциальную информацию, когда пользователи получают доступ к облачным сервисам, приватным приложениям и веб-ресурсам. Сервис использует два взаимодополняющих метода инспекции для полной видимости и управления. Встроенная защита данных и API защиты данных работают самостоятельно в различных сценариях, но опираются на одинаковые двигатели классификации для обеспечения одинакового обнаружения среди всех типов пользователей.
-
Встроенная защита данных применяет инспекцию DLP к трафику в реальном времени, маршрутизируемому через PoP Cato. Встроенная защита охватывает управляемых пользователей и трафик сайта, применяя правила DLP к SaaS, приватным приложениям и веб-ресурсам. Требуется инспекция TLS для анализа зашифрованных сеансов.
Поток встроенного трафика показан на левой стороне примера выше.
-
API защиты данных расширяет защиту DLP к разрешенным приложениям SaaS даже когда трафик не маршрутизируется через облако Cato. Он мониторит действия, инициируемые пользователем, такие как загрузка файлов, обмен и изменения непосредственно через API интеграции, обеспечивая видимость для неуправляемых устройств, соединений с разделенным туннелем или пользователей, которые обращаются к приложениям без клиента Cato. API инспектирует данные в движении в пределах платформы SaaS, но не сканирует хранящиеся файлы.
Поток внеполосного трафика API показан на правой стороне примера выше.
Сервис Cato XOps предоставляет оперативный контекст для событий DLP, коррелируя обнаружения Встроенного и API в единые истории. Каждая история агрегирует связанные действия, такие как пользователь, приложение, последовательность действий и назначение, чтобы показать, как конфиденциальные данные перемещались через окружение. Эта корреляция помогает администраторам быстро идентифицировать непреднамеренный обмен, нарушения политики или аномальное обращение с данными через различные пути доступа.
Движок DLP Cato предоставляет устойчивую структуру классификации, используемую как Встроенной защитой данных, так и API защиты данных. Каждый метод применения использует отдельные политики для обеспечения точного обнаружения конфиденциальной информации через все пути доступа.
Хотя Встроенная защита данных и API защиты данных используют разные политики, они разделяют одну и ту же структуру классификации данных и методы обнаружения для обеспечения точного обнаружения конфиденциальной информации.
Вы также можете обеспечить плавное управление данными, интегрировав с Microsoft Purview и метками конфиденциальности Google. Клиенты, которые уже используют эти решения для классификации данных и маркировки, могут использовать их для встроенной защиты и предотвращения утечек данных.
Для получения дополнительной информации см. Использование меток конфиденциальности MIP в политике DLP Cato и Использование меток Google с API защиты данных.
Структура классификации Cato сосредоточена на профилях DLP, которые определяют идентификаторы данных, представляющих конфиденциальный контент в организации.
- Предопределенные типы данных: Встроенные идентификаторы для общих регламентированных и конфиденциальных данных, таких как глобальные форматы PII, финансовые данные, данные здравоохранения, кадровые документы и категории, определяемые соблюдением требований.
- Пользовательские типы данных: Идентификаторы данных, определенные пользователем, которые расширяют классификацию с учетом специфических требований организации.
Cato применяет несколько техник обнаружения для точной идентификации конфиденциальных данных:
- Модели машинного обучения и LLM, ускоренные аппаратным обеспечением GPU в PoP Cato, классифицируют полные документы, анализируя семантическое значение и схожесть с известными конфиденциальными категориями. Администраторы могут загружать и тестировать пользовательские классификаторы LLM непосредственно в CMA.
- Классификаторы изображений ML - это модели машинного обучения, которые анализируют пиксели на изображении для определения его содержимого. Они являются частью более широкой области компьютерного зрения.
- Классификаторы тем LLM используют модели на основе LLM, чтобы понять значение и контекст текста. Они классифицируют документ на основе его темы, структуры или стиля письма.
- Точное соответствие данных (EDM) проверяет конфиденциальные значения с утвержденными наборами данных, уменьшая количество ложных срабатываний для структурированного, специфичного для организации контента.
- Оптическое распознавание символов (OCR) извлекает текст из изображений, сканированных документов и скриншотов, чтобы предотвратить попытки обойти проверку на основе текста.
- Regex и сопоставление ключевых слов обнаруживают шаблоны, связанные с регулируемыми полями данных или внутренними идентификаторами.
Для получения дополнительной информации см. Создание профилей контента DLP, Работа с пользовательскими типами данных для DLP и Работа с точным соответствием данных (EDM) для DLP.
Встроенная защита данных применяет инспекцию DLP к данным в движении, когда трафик маршрутизируется через PoP Cato. Поскольку он работает на сетевом уровне, встроенная инспекция обеспечивает детерминированное, реальное время применения для трафика, полностью маршрутизируемого через облако Cato.
Встроенное применение распространяется на:
- Офисные пользователи, подключенные через сайт с поддержкой Cato
- Удаленные пользователи, подключенные через клиент Cato
- Потоки от сайта к облаку и от сайта к Интернету проверяются в реальном времени
Встроенная DLP защита имеет специфические операционные требования и поведения, которые влияют на то, как политики данных применяются к трафику через облако Cato:
- Для анализа зашифрованного контента, такого как HTTPS-сессии, требуется инспекция TLS, чтобы проверять конфиденциальный контент в SaaS, приватных приложениях или веб-трафике.
- Применяемые действия, включая блокировку, оповещение и редактирование, сразу же применяются, как только оценивается трафик.
Для получения дополнительной информации см. что такое сервис DLP Cato?.
API защиты данных расширяет инспекцию DLP к разрешенным облачным приложениям, когда трафик не проходит через облако Cato. Он использует специфичные для приложения коннекторы для отправки активности SaaS на движок DLP Cato, размещенный в AWS для инспекции.
Коннектор API использует интеграции на основе OAuth, определенные в защите API приложения и данных (Безопасность > Защита API приложения и данных). Поддерживаемые приложения включают Microsoft 365, Google Workspace, Salesforce и другие. Для получения полного списка поддерживаемых приложений см. API защиты данных.
API защиты данных обеспечивает видимость для:
- Неуправляемые устройства
- Трафик SaaS с разделенным туннелированием или локальной маршрутизацией
- Пользователи без клиента Cato или лицензии ZTNA
Движок API применяет ту же логику классификации, которая используется для встроенного DLP, обеспечивая одинаковое обнаружение конфиденциального контента для действий SaaS, таких как:
- Загрузки файлов
- Внешнее или публичное распространение
- Изменения разрешений
- Изменения, связанные с регулируемыми данными
Администраторы могут использовать панель управления API защиты данных в CMA для мониторинга активности SaaS и детализации нарушений для просмотра связанных данных и контекста.
Для получения дополнительной информации см. что такое API защиты данных?.
Архитектура защиты данных Cato предоставляет единое покрытие как для управляемых, так и для неуправляемых устройств, независимо от того, как пользователи подключаются или где получены данные. Встроенная и API защита работают вместе, чтобы устранить общие пробелы видимости и контроля. Это обеспечивает защиту конфиденциальных данных в каждом сценарии использования, от корпоративных устройств в доверенных сетях до неуправляемых устройств, которые получают доступ к облачным приложениям непосредственно.
Управляемые устройства либо находятся за сайтом, подключенным к Cato, либо используют клиент Cato для отправки трафика через облако Cato. В этих случаях встроенный DLP на базе PoP инспектирует данные в движении, когда пользователи получают доступ к облачным сервисам, приватным приложениям или веб-ресурсам.
Администраторы могут применять ограничения уровня приложения для контроля, какие приложения инспектируются, как обрабатываются конфиденциальные данные и применять вход в облачные приложения только тогда, когда пользователи подключены к облаку Cato.
Избирательные конфигурации на входе разрешают маршрутизацию только выбранного трафика через облако Cato, гарантируя, что встроенное применение DLP применяется конкретно к потокам, которые требуют инспекции.
Неуправляемые устройства получают доступ к облачным приложениям непосредственно через Интернет. API защиты данных предоставляет администраторам видимость использования конфиденциальных данных в разрешенных облачных приложениях.
- Нет необходимости устанавливать клиент Cato в качестве дополнительного ПО для подрядчиков
- Для политики разделенного туннеля трафик, который обходит Cato Cloud, по-прежнему проверяется на конфиденциальные данные
- Нет необходимости в дополнительных лицензиях ZTNA для API защиты данных
Cato отделяет встроенную и на базе API защиту данных в отдельные базы правил, позволяя администраторам настроить контроль того, как пользователи получают доступ к приложениям и где требуется инспекция. Эта структура гарантирует, что каждый путь применения может быть уточнен для максимальной релевантности и видимости.
Администраторы конфигурируют встроенные и API политики DLP отдельно, чтобы обеспечить соответствие контроля тому, как пользователи получают доступ к приложениям и где требуется инспекция.
- Правила политики DLP, встроенные в систему, настраиваются в Безопасность > Приложения и Данные Встроенные, где администраторы определяют, какие приложения, пользователи и назначения подлежат встроенной проверке.
- Правила политики DLP на основе API настраиваются в Безопасность > Приложения и Данные API Защита, где управляющие коннекторами SaaS и правила, активируемые событиями.
- Такие же профили DLP и типы данных могут использоваться в обеих политиках.
Действия применения определяют, как обрабатываются обнаруженные конфиденциальные данные, и предоставляют администраторам прямой контроль над обоими видами нарушений, как встроенными, так и в облачных.
- Блокировать предотвращает выход конфиденциальных данных из организации через проверенные встроенные потоки.
- Оповещение протоколирует событие без блокировки действия, позволяя видеть паттерны использования.
- Карантин доступен для поддерживаемых SaaS-приложений через защиту на основе API, перемещая конфиденциальные файлы в ограниченное место для проверки администратором.
CMA включает специализированные панели для каждого типа политики, чтобы администраторы могли быстро идентифицировать нарушения, исследовать активность и понимать, как конфиденциальные данные перемещаются по окружению.
-
События встроенного DLP появляются в Панель управления Приложением и Данными Встроенные, где администраторы могут фильтровать, сортировать и исследовать нарушения. Для получения дополнительной информации см. использование панели управления Встроенной защиты данных.
- Вы можете просмотреть судебные доказательства непосредственно из события, чтобы быстро понять контекст инцидента, оценить потенциальное раскрытие данных и проверить ложные срабатывания. Для получения дополнительной информации см. Расследование нарушений DLP с судебными доказательствами.
- Панель управления API защиты данных обеспечивает видимость активности, специфичной для SaaS, такой как загрузки файлов, общие подключения или изменения разрешений. Для получения дополнительной информации см. Использование Панели управления API защиты данных.
Сервис Cato XOps коррелирует обнаружения Встроенного и API в единые истории, позволяя администраторам исследовать межканальные шаблоны перемещения конфиденциальных данных.
Cato XOps усиливает расследования DLP, коррелируя обнаружения от обеих Встроенной защиты данных и API защиты данных в единые истории. Эта корреляция предоставляет единый просмотр перемещения конфиденциальных данных через сетевой трафик, инспектируемый в реальном времени в PoP Cato и внеполосная активность облака, инспектируемая через API-коннекторы. Интеграция с вашим DSPM также предоставляет видимость данных в состоянии покоя, например, в дата-центре.
Каждая история XOps включает пользователя, приложение, действие и назначение, участвующее в активности. Этот консолидированный контекст помогает администраторам понять, как конфиденциальные данные были доступны или обменены, независимо от того, перемещались ли они через сеть или в рамках облачной платформы. Например, движки аномалий XOps UEBA анализируют отклонения от типичного поведения пользователя или устройства, чтобы выявить риски, такие как неожиданные загрузки SMB или передача файлов по SSH. Такое поведение может указывать на попытки обхода обычных процессов обработки данных.
Связанные статьи:
XOps также коррелирует события DLP с обнаружениями от других служб безопасности Cato, позволяя администраторам выявлять многофакторные атаки. Например, IPS может обнаружить активность вредоносного ПО на устройстве, указывая на потенциальный компромисс. Вскоре после этого встроенный или API движок DLP отмечает попытку эксфильтрации данных клиента с того же устройства на внешний сервер. XOps объединяет эти обнаружения в единую историю, которая показывает как индикаторы вредоносного ПО, так и попытку передачи данных. Эта история предоставляет командам SOC полную видимость масштабов прогрессирования угрозы и помогает им реагировать быстрее и точнее.
0 комментариев
Войдите в службу, чтобы оставить комментарий.