기업의 가장 소중한 자산은 가장 보호하기 어려운 자산이기도 합니다.
우리는 모든 회사의 신경계를 살아 있게 유지하는 필수 물질인 데이터에 대해 이야기하고 있습니다. 다행스럽게도 회사가 데이터 손실을 방지하는 데 전적으로 전념하는 전체 산업이 있습니다. 이 산업은 DLP(Data Loss Prevention, 줄여서 DLP)라는 기술을 제공하는 소수의 공급업체가 주도하고 있습니다.
DLP 기술은 두 가지 핵심 기능을 수행합니다.
- 보호해야 하는 민감한 데이터 식별
- 이러한 데이터의 손실 방지
그들이 보호하는 데이터의 종류는 세 가지 기본 그룹으로 나눌 수 있습니다.
- 사용 중인 데이터
- 이동 중인 데이터
- 미사용 데이터
사용 중인 데이터는 일반적으로 RAM, 캐시 메모리 또는 CPU 레지스터에 상주하는 활성 데이터를 나타냅니다.
이동 중인 데이터는 내부 및 보안 네트워크 또는 보안되지 않은 공용 네트워크(인터넷, 전화 네트워크 등)와 같은 네트워크를 통해 이동하는 데이터를 의미합니다.
미사용 데이터는 데이터베이스, 파일 시스템 또는 스토리지 인프라에 저장된 비활성 상태의 데이터를 의미합니다.
커버리지 기능 측면에서 DLP 솔루션은 두 가지 범주로 분류할 수 있습니다.
- 엔터프라이즈 DLP 또는 EDLP
- 통합 DLP 또는 IDLP
EDLP 범주에 속하는 솔루션은 전체 누설 벡터 스펙트럼을 포괄하는 솔루션입니다. 대조적으로, IDLP 솔루션은 단일 프로토콜 또는 이전에 언급한 세 가지 종류의 데이터 중 하나에만 초점을 맞춥니다. IDLP 솔루션의 몇 가지 예는 웹 보안, 이메일 암호화 및 장치 제어입니다.
목차
훌륭한 DLP 솔루션에 대해 무엇을 기대할 수 있습니까?
DLP에는 일대일 솔루션과 같은 것이 없습니다. 각각의 필요에 맞는 올바른 솔루션은 여러 요인에 따라 달라집니다. 여기에는 조직 규모 및 예산, 중요한 데이터 유형, 네트워크 인프라, 기술 요구 사항 등이 포함됩니다. 회사에 가장 적합한 솔루션을 결정하려면 DLP 접근 방식, 탐지 방법 및 솔루션 아키텍처 중에서 무엇을 선택할지 결정하기 위한 노력과 연구가 필요합니다.
요구 사항을 조사하고 분석한 후 이상적인 DLP 솔루션은 다음 측면의 최적 균형을 제공해야 합니다.
- 포괄적인 적용 범위: DLP 구성 요소는 모든 아웃바운드 트래픽을 모니터링하고 이메일 및 웹/FTP 트래픽 형태의 누출을 차단하기 위해 네트워크 게이트웨이를 포괄해야 합니다. 또한 사용 중인 데이터의 손실을 방지하기 위해 회사의 모든 스토리지 리소스와 모든 엔드포인트에 걸쳐 저장된 데이터를 보호해야 합니다.
- 단일 관리 콘솔: DLP 솔루션 관리에는 시스템 구성/유지 관리, 정책 생성/관리, 보고, 사고 관리/분류, 조기 위험 탐지/완화 및 이벤트 상관 관계에 소요되는 노력과 시간이 필요합니다. 이러한 영역을 지원하려면 단일 관리 콘솔이 필요합니다. 그렇지 않으면 불필요한 위험이 발생할 수 있습니다.
- 규정 준수를 위한 사고 관리: 데이터 손실 사고가 발생하면 적절한 처리가 중요합니다. 데이터 손실이 불가피하다는 점을 의식해야 하지만 값비싼 벌금과 손목을 때리는 것의 차이는 데이터 손실 사고를 처리하는 방식에서 만들어질 수 있습니다.
- 탐지 방법 정확도: 마지막으로 DLP 솔루션의 이 측면은 좋은 솔루션과 나쁜 솔루션을 구분합니다. DLP 기술은 중요한 데이터를 식별할 때가 되면 감소된 탐지 방법 세트에 의존합니다. 정규식을 사용한 패턴 매칭은 가장 널리 사용되는 탐지 방법입니다. 그러나 이 방법은 매우 부정확하여 오탐 사건의 대기열이 길어집니다. 우수한 DLP 기술은 정확성을 향상시키기 위해 기존의 패턴 매칭에 다른 탐지 방법을 추가해야 합니다.
주요 DLP 접근법
DLP 솔루션이 급증하기 시작했을 때 모든 공급업체는 회사의 인프라를 포괄하도록 설계된 구성 요소 세트를 가지고 DLP에 접근했습니다. 요즘에는 상황이 바뀌었고 모든 공급업체가 동일한 접근 방식을 사용하는 것은 아닙니다. 이러한 접근 방식은 두 가지 주요 범주로 나뉩니다.
- 전통적인 DLP
- 에이전트 DLP
기존 DLP는 Forcepoint, McAfee 및 Symantec과 같은 시장의 일부 공급업체에서 제공합니다. 이러한 공급업체가 제공하는 전통적인 접근 방식은 다각적인 접근 방식이기도 합니다. 즉, 네트워크 게이트웨이, 스토리지 인프라, 엔드포인트 및 클라우드에서 적용 범위를 제공합니다. 이 접근 방식은 오늘날 DLP 시장의 개요를 설명하기에 충분히 성공적이었으며 중요한 시장 점유율을 확보한 최초의 접근 방식이었습니다.
DLP에 대한 두 번째 접근 방식은 Agent DLP 또는 ADLP라고 합니다. 모든 사용자 및 시스템 활동을 모니터링하는 커널 수준 엔드포인트 에이전트를 사용합니다. 그렇기 때문에 이 접근 방식에 적합한 솔루션을 엔드포인트 DLP 솔루션이라고도 합니다.
조직의 요구 사항에 가장 적합한 접근 방식을 결정하는 것은 쉽지 않습니다. 이는 보호해야 하는 데이터 유형, 조직이 운영되는 산업 및 데이터 보호 이유에 따라 크게 달라집니다. 예를 들어 의료 및 금융 산업의 조직은 규정 준수를 위해 DLP를 사용해야 합니다. 이러한 회사의 경우 DLP 솔루션은 다양한 채널과 다양한 형식에서 개인 및 건강 정보를 감지해야 합니다.
반면 기업이 지적 재산권 보호를 위해 DLP가 필요한 경우 적용할 DLP 솔루션은 보다 전문적인 탐지 방법이 필요할 것입니다. 또한 중요한 데이터를 정확하게 감지하고 보호하는 것은 훨씬 더 어렵습니다. 모든 기존 DLP 솔루션이 이 작업에 적합한 도구를 제공하는 것은 아닙니다.
DLP 아키텍처: 솔루션 복잡성에서 살아남는 방법
DLP 기술은 정교합니다. 웹, 이메일, 데이터베이스, 네트워킹, 보안, 인프라, 스토리지 등 다양한 영역의 입력이 필요합니다. 또한 DLP 솔루션의 영향은 법률, HR, 위험 관리 등과 같은 비 IT 영역에 영향을 미칠 수 있습니다. 더 복잡하게 만들기 위해 DLP 솔루션은 일반적으로 배포, 구성 및 관리하기가 매우 어렵습니다.
기존 DLP 솔루션은 레시피에 훨씬 더 많은 복잡성을 추가합니다. 완전한 솔루션을 실행하려면 여러 장치와 소프트웨어가 필요합니다. 여기에는 어플라이언스(가상 또는 실제) 및 서버가 포함될 수 있습니다.
조직의 네트워크 아키텍처는 이러한 장치를 통합해야 하며 이 통합에는 아웃바운드 네트워크 트래픽 검사, 이메일 차단 등이 포함되어야 합니다. 통합이 완료되면 또 다른 수준의 복잡성이 발생하며 이는 각 공급업체에 따라 다릅니다.
에이전트 DLP 솔루션은 주로 네트워크 통합이 거의 또는 전혀 필요하지 않기 때문에 일반적으로 기존 솔루션보다 덜 복잡합니다. 그러나 이러한 솔루션은 커널 수준에서 OS와 상호 작용합니다. 따라서 OS 및 다른 응용 프로그램과의 충돌을 피하기 위해 확장된 튜닝이 필요합니다.
DLP 공급업체 분석:
Acronis DeviceLock
Acronis DeviceLock 데이터 손실 방지는 정보 운영을 확인하면서 민감한 데이터를 보호함으로써 포괄적인 엔드포인트 솔루션을 제공합니다. 악의적인 내부자 또는 직원 과실로 인해 필요한 데이터를 잃을 필요가 없습니다. 데이터를 전송하거나 다른 파일에 액세스하려는 무단 시도를 차단하여 데이터 유출을 방지합니다.
데이터 보호, 흐름 및 사용자 행동에 대한 통찰력을 얻고 데이터 보호 및 보고 시간의 복잡성을 줄입니다. 데이터 사용 정책을 처리하고 시행하여 IT 보안 규정 및 표준을 준수하고 정보 유출 위험을 줄입니다.
그룹 정책과 함께 중단 없는 업그레이드 및 기본 통합으로 이동합니다. Acronis DeviceLock은 엔터프라이즈 요구 사항에 따라 중앙 관리 콘솔을 제공합니다. 이를 통해 사용자 활동을 모니터링하고, 로그를 수집하고, 보고 도구를 사용하고, 로그 레코드를 보고, TCO(총 소유 비용)를 제어하는 모듈식 아키텍처를 얻을 수 있습니다.
비즈니스 프로세스에 필요한 작업을 허용하고 내부자 위협을 최소화합니다. Acronis DeviceLock은 Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware 워크스테이션 플레이어, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation 및 VMware Horizon 보기. 또한 데이터 섀도잉, 경고, 로깅, 컨텍스트 인식 및 콘텐츠 인식을 제어할 수 있습니다.
등록하여 30일 무료 평가판을 받으세요.
엔진 관리
ManageEngine 장치 제어 플러스 장치에 대한 역할 기반 액세스 제어를 할당하고, 맬웨어 공격으로부터 장치를 보호하고, 장치를 분석할 수 있도록 하여 위협으로부터 데이터를 보호합니다.
USB와 같은 이동식 장치를 사용하면 데이터가 손실되는 경향이 있지만 그렇지 않습니다. 다른 많은 문제가 존재합니다. 또한 Device Control Plus는 장치에 대한 무단 액세스를 차단하여 데이터를 방지합니다. 읽기 전용 액세스 설정, 사용자가 이동식 장치에서 파일을 복사하지 못하도록 차단 등과 같은 간단한 정책을 따릅니다.
비즈니스에서 처리하는 데이터를 기반으로 파일 유형 및 파일 크기에 대한 제한을 설정할 수 있습니다. 또한 제한된 데이터 전송을 허용하여 실시간 데이터 보호를 보장합니다. 악성 장치를 식별하고 제거하는 것은 복잡한 작업입니다. 신뢰할 수 있는 장치 목록을 만듭니다. 권한이 없는 한 장치가 끝점에 액세스할 수 없도록 합니다.
보고서 및 감사를 통해 누가 어떤 엔드포인트에서 장치를 사용하고 있는지 추적하여 해킹 시도를 모니터링합니다. 또한 이 도구는 무단 액세스가 있는 경우 즉각적인 경고를 제공합니다. 소프트웨어를 다운로드하고 기능이 포함된 30일 무료 평가판을 사용하십시오.
디지털 가디언
디지털 가디언 2003년 Verdasys라는 이름으로 탄생했으며, 지적 재산이 도난당하는 것을 방지하는 기술을 제공한다는 목표를 가지고 있습니다. 첫 번째 제품은 모든 사용자 및 시스템 활동을 모니터링할 수 있는 엔드포인트 에이전트였습니다.
불법 활동을 모니터링하는 것 외에도 이 솔루션은 의심스러운 행동을 감지하기 위해 명백하게 무해한 활동을 기록합니다. 로깅 보고서를 분석하여 TDLP 솔루션이 캡처할 수 없는 이벤트를 탐지할 수 있습니다.
DG는 기존 DLP 도구로 ADLP 솔루션을 보완하기 위해 Code Green Networks를 인수했습니다. 그러나 DG의 ADLP와 TDLP 솔루션 간의 통합은 거의 없습니다. 그들은 심지어 별도로 판매됩니다.
포스포인트
포스포인트 Gartner의 TDLP 공급업체 “매직 쿼드런트”에서 특권적인 위치에 있습니다. 보안 플랫폼에는 URL 필터링, 이메일 및 웹 보안을 위한 일련의 제품이 포함되어 있습니다. 이러한 도구는 SureView Insider Threat Technology, McAfee의 Stonesoft NGFW 및 Imperva의 Skyfence CASB와 같은 유명한 타사 솔루션으로 보완됩니다.
Forcepoint 솔루션의 아키텍처는 다른 솔루션에 비해 단순합니다. 여기에는 관리용 서버, 데이터 및 네트워크 트래픽 모니터링, 이메일 차단/웹 트래픽 모니터링이 포함됩니다. 이 솔루션은 사용자 친화적이며 국가, 산업 등으로 분류된 많은 정책을 포함합니다.
일부 기능은 Forcepoint DLP 솔루션을 독특하게 만듭니다. 예를 들어 이미지 파일에서 중요한 데이터를 감지하는 OCR 기능입니다. 또는 인시던트 위험 순위를 지정하여 시스템 관리자가 처음에 어떤 인시던트를 검토해야 하는지 확인할 수 있습니다.
맥아피
인텔에 인수된 이후 맥아피 DLP 제품에 너무 많은 투자를 하지 않았습니다. 따라서 제품은 많은 업데이트를 받지 못했고 경쟁 DLP 제품에 대한 근거를 잃었습니다. 몇 년 후 Intel은 보안 사업부를 분사했고 McAfee는 다시 독립 기업이 되었습니다. 그 후 DLP 제품 라인에 몇 가지 필요한 업데이트가 있었습니다.
McAfee DLP 솔루션은 세 가지 주요 부분으로 구성되어 있습니다.
- 회로망
- 발견
- 끝점
하나의 구성 요소는 다른 DLP 제품 중에서 매우 고유한 것입니다. 바로 McAfee DLP 모니터입니다. 이 구성 요소를 사용하면 모든 네트워크 트래픽과 함께 정책 위반으로 발생한 사건의 데이터를 캡처할 수 있습니다. 이러한 방식으로 구성 요소는 대부분의 데이터를 검토할 수 있으며 다른 방법으로는 간과할 수 있는 사고를 발견할 수 있습니다.
McAfee의 ePolicy Orchestrator는 대부분의 DLP 솔루션 관리를 처리합니다. 그러나 여전히 Orchestrator 외부에서 수행해야 하는 몇 가지 관리 작업이 있습니다. 회사는 여전히 DLP 제품을 완전히 통합해야 합니다. 앞으로 그렇게 될지는 아직 알 수 없습니다.
시만텍
시만텍 제품 포트폴리오에 적용되는 지속적인 혁신 덕분에 DLP 솔루션 분야의 확실한 리더입니다. 이 회사는 모든 DLP 공급업체 중 가장 큰 설치 기반을 보유하고 있습니다. 이 솔루션은 각 기능에 필요한 서로 다른 소프트웨어 구성 요소가 있는 모듈식 접근 방식을 사용합니다. Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover 등 구성 요소 목록은 매우 인상적입니다.
특히 고유한 Data Insight 구성 요소는 구조화되지 않은 데이터 사용, 소유권 및 액세스 권한에 대한 가시성을 제공합니다. 이러한 이점을 통해 DLP 영역 외부의 제품과 경쟁할 수 있으므로 이 기능을 활용할 수 있는 조직에 추가 가치를 제공합니다.
시만텍의 DLP는 다양한 방식으로 사용자 정의할 수 있습니다. 거의 모든 기능에는 높은 수준의 정책 조정을 제공하는 구성이 있습니다. 그러나 이러한 이점은 더 큰 복잡성을 희생합니다. 아마도 시장에서 가장 복잡할 것이며 배포 및 지원에 꽤 많은 시간이 필요할 수 있습니다.
RSA
EMC의 DLP 솔루션, RSA 데이터 손실 방지회사 IP, 고객 신용 카드 등과 같은 중요한 데이터의 흐름을 검색하고 모니터링할 수 있습니다. 이 솔루션은 최종 사용자를 교육하고 이메일, 웹, 전화 등에서 제어를 시행하여 중요한 데이터가 손상될 위험을 줄이는 데 도움이 됩니다.
RSA Data Loss Prevention은 포괄적인 적용 범위, 플랫폼 통합 및 워크플로우 자동화를 제공하여 차별화됩니다. 콘텐츠 분류, 핑거프린팅, 메타데이터 분석 및 전문가 정책의 조합을 제공하여 민감한 정보를 최적의 정확도로 식별합니다.
EMC의 광범위한 서비스에는 많은 위험 요소가 포함됩니다. 가장 일반적인 이메일, 웹 및 FTP뿐만 아니라 소셜 미디어, USB 장치, SharePoint 및 기타 많은 것. 사용자 교육에 중점을 둔 접근 방식은 민감한 데이터를 다룰 때 최종 사용자의 행동을 안내하여 최종 사용자 사이에 위험 인식을 생성하고자 합니다.
CA 데이터 보호
CA 데이터 보호 (Broadcom의 DLP 제품)는 보호해야 하는 사용 중, 이동 중, 휴지 상태 외에 네 번째 데이터 클래스인 온 액세스를 추가합니다. 초점은 데이터가 있는 위치, 처리 방법 및 민감도 수준에 있습니다. 이 솔루션은 정보뿐만 아니라 정보에 대한 액세스를 제어하여 데이터 손실 및 오용을 줄이는 방법을 모색합니다.
이 솔루션은 네트워크 관리자에게 가장 중요한 자산에 대한 위험을 줄이고, 전사적 위치에서 정보를 제어하고, 고위험 커뮤니케이션 모드를 완화하고, 규제 및 기업 정책을 준수할 수 있도록 보장합니다. 또한 클라우드 서비스로의 전환을 위한 토대를 마련합니다.
수백만 달러를 절약할 것인가, 아니면 수백만 달러의 비용을 지불할 것인가?
최고의 DLP 솔루션은 실제로 수백만 달러를 절약할 수 있습니다. 그러나 필요에 맞는 것을 선택하지 않거나 올바른 방식으로 배포하지 않으면 수백만 달러의 비용이 발생할 수 있다는 것도 사실입니다. 올바른 DLP 솔루션을 선택하는 것이 기능 비교 차트를 검색하는 문제일 뿐이라고 생각했다면 오산이었습니다.
따라서 DLP 솔루션을 구입한 후 작동시킬 뿐만 아니라 모든 제안을 분석하고 조직에 더 적합한 것을 선택하는 데 많은 노력을 기울일 준비를 하십시오.