企业数据丢失预防和设备控制

DeviceLock发现阻止数据泄露

DeviceLock发现是DeviceLock DLP的功能组件,使组织能够查看和控制整个IT环境中存储的机密“静态数据”,从而主动防止数据泄露并实现对法规和公司数据安全性要求的遵从性。

通过自动扫描驻留在DeviceLock Discovery Server可以访问的网络共享,存储系统和终结点计算机上的数据,它可以找到包含暴露的敏感内容的文档,提供通过补救措施保护它们的选项,并可以通过向组织中使用的安全信息和事件管理(SIEM)系统实时发出警报来启动事件管理程序。

根据网络拓扑和受保护IT环境的其他特定情况,DeviceLock Discovery可以以多种模式执行扫描:无代理、基于代理和混合扫描。

可以由管理员手动启动DeviceLock发现扫描,也可以将其配置为按日程运行。DeviceLock Discovery Agents可以通过DeviceLock Discovery Server远程安装到目标计算机上并从目标计算机上删除,这是一个对最终用户完全自动和透明的过程。
内容检测 DeviceLock Discovery可以识别和检查内容的三种常规类别:文本数据、二进制文件和各种其他数据/元数据类型。

为了检测结构化和分类的文本内容,DeviceLock Discovery使用“关键字”(单独列出或整个单词短语)和正则表达式(RegExp)模式,可以将其与数字阈值和其他参数组合以在DLP规则中指定触发条件。为了简化指定数据模式的任务,该产品附带数百个预先构建的特定于行业、主题和国家的关键字字典,以及用于常见敏感信息类型(如社会安全号码、信用卡、银行帐户、地址、驾照等)的RegExp模板。此外,客户可以开发自己的关键字字典和模板,也可以根据定制的过滤需求修改预先构建的关键字字典和模板。通过对英语、法语、德语、意大利语、葡萄牙语、俄语、西班牙语和加泰罗尼亚语中的关键字进行形态分析,提高了内容检测的准确性。

为了检测非结构化文本和二进制内容,DeviceLock Discovery使用数据指纹。 对象(例如文档)的数据指纹集唯一地标识了整个文档及其内容。通过使用数据指纹进行内容检查,可以可靠地在扫描的文档和文件中检测文本和二进制内容的完整副本或部分内容。除了文本和二进制内容检测之外,DeviceLock Discovery还使用数据指纹技术来检测任何非文本文件的精确副本,例如图像、设计图、多媒体等。为了简化用于内容检查的数据指纹化过程,DeviceLock Discovery支持将公司数据自动分类为预先构建或用户定义的分类级别。 当DeviceLock管理员将敏感文件的示例放入其相关分类级别的文件夹中时,将通过处理敏感文档的示例自动填充分类数据指纹的数据库。产品内建有五个基本分类级别,但是客户也可以添加或定义自己的类别。 内置类别包括“未分类”,“受限制”,“机密”,“秘密”和“最高机密”,但是客户可以在DLP策略中使用预先构建的分类及其任何自定义分类的组合。

验证的文件类型检测(可识别超过5300种文件类型)是另一种可识别内容的方法,可单独或与文本内容检查结合使用在DeviceLock Discovery中。 基于二进制内容签名的方法用于检测已验证的文件类型,而不考虑其扩展名或标头。
除了在基于文本的数据对象中进行内容发现外,内置的光学字符识别(OCR)引擎还允许DeviceLock Discovery从文档和许多图像格式的图形文件中的图片中提取和检查文本数据。凭借可识别的30多种语言,DeviceLock关键字词典和用于提高识别度的正则表达式以及受支持的许多其他高级功能,这个高效的OCR引擎提供了发现和保护信息资产中暴露的机密数据的能力,这些信息资产以图形形式呈现给DeviceLock客户。分布式OCR架构极大地改进了解决方案的整体性能,主要是因为存储在端点上的图形对象可以由驻留代理的OCR模块在本地进行扫描和检查,从而显著降低了Discovery Server上的任何负载,并减少了公司网络中的扫描流量。
补救措施 一旦在错误位置存储的文件中检测到机密内容,便可以执行以下预防措施来纠正此风险:
  • 删除
  • 安全删除
  • 删除容器(如果在容器/归档文件内的文件中发现冲突)
  • 设置权限(对于NTFS文件)
  • 日志
  • 警报
  • 通知用户并
  • 加密(仅适用于NTFS文件的EFS)。