什么是 DLP（数据丢失防护）？

数据外泄可以通过多种不同方式发生：

• 机密数据可以通过电子邮件或即时消息离开网络
• 用户可以在没有授权的情况下将数据复制到外部硬盘驱动器上
• 一名员工可能将数据上传到公司控制之外的公共云
• 外部攻击者可以获得未经授权的访问并窃取数据
• 员工可将敏感数据上传到 AI 工具，如大型语言模型 (LLM)

为防止数据外泄，数据丢失防护会跟踪数据在网络内、员工设备上以及何时存储在公司基础设施上的移动。然后它可以发送警报、更改对数据的权限，或者在某些情况下，当数据有离开公司网络的危险时阻止数据。一些数据丢失防护安全解决方案甚至可以阻止 Web 应用程序内的复制和粘贴，以阻止机密数据被复制到不安全的应用程序中，或以其他方式未经许可移动。

数据丢失防护有助于阻止哪些类型的威胁？

内部威胁：任何有权访问公司系统的人都被视为内部人员。这可能包括雇员、前雇员、承包商和供应商。有权访问敏感数据的内部人员可能泄露、破坏或窃取该数据。DLP 可以通过跟踪网络内的敏感信息来帮助阻止对敏感数据的未经授权转发、复制或破坏。

外部攻击：数据外泄往往是网络钓鱼或恶意软件攻击的最终目标。外部攻击也可能导致永久性的数据丢失或破坏，如在勒索软件攻击中，内部数据被加密，无法访问。DLP 可以帮助防止恶意攻击者成功获取或加密内部数据。

意外的数据暴露：内部人员经常在不经意间暴露数据——例如，员工可能会在不知情的情况下将包含敏感信息的电子邮件转发给外部人员。与 DLP 安全阻止内部攻击的方式类似，它可以通过跟踪网络内的敏感信息来检测和防止这种意外的数据泄露。

AI 数据曝光：公开可用的 AI 应用程序会将它们收到的输入添加到数据集并进一步训练模型。这可能会导致应用程序之后向外部人员泄露数据。AI 工具也可能不符合组织需要遵循的数据法规，如果上传数据，组织就会不合规。

违反法规：如果企业受通用数据保护条例 (GDPR) 等数据监管框架的约束，那么数据暴露就是一种违规行为，可能导致罚款和其他处罚。数据丢失防护有助于降低此类违规风险。

数据丢失防护如何运作以检测敏感数据？

DLP 解决方案可以使用一些技术来检测敏感数据，其中包括：

• 数据指纹识别：此过程会创建一个唯一的数字“指纹”，它可以标识特定的文件，就像可以通过指纹来识别一个人一样。文件的任何副本都具有相同的指纹。DLP 软件将扫描所传出数据的指纹，以查看是否有任何指纹与机密文件的指纹匹配。
• 关键字匹配：DLP 软件在用户消息中查找某些词语或短语，并阻止包含这些词语和短语的消息。如果公司希望在财报电话会议之前对其季度财务报告保密，可以配置 DLP 系统，以阻止包含短语“季度财务报告”或已知会出现在报告中的特定短语的外发电子邮件。
• 模式匹配：该技术根据文本是否符合某类受保护数据的可能性对文本进行分类。假设从公司数据库发出的 HTTP 响应包含一个 16 位数字。DLP 系统将此文本字符串分类为极有可能是信用卡号，这是受保护的个人信息。
• 文件匹配：在网络内移动或离开网络的文件的哈希与受保护文件的哈希进行比较。（哈希是一串唯一的字符，可以识别一个文件；哈希通过哈希算法创建，当给定相同的输入时，每次都有相同的输出。）
• 确切的数据匹配：这会根据包含应保持在组织控制范围内的特定信息的确切数据集检查数据。

有哪些重要的数据丢失防护最佳实践？

数据丢失防护不仅仅是一种技术解决方案：组织的整个安全策略应围绕避免数据丢失展开。除了启用数据丢失防护解决方案之外，预防丢失的一些最佳实践还包括：

• 对内部用户进行安全措施教育
• 保持所有存储数据的可见性
• 使用访问控制来限制谁可以查看或更改数据
• 加密传输中和静态文件
• 使用 Zero Trust 方法，确保默认情况下不信任任何设备或用户

Cloudflare One 如何防范数据丢失？

Cloudflare One 平台具备统一的安全性功能，包括 DLP，可保护 Web 应用程序、SaaS 应用程序和专用应用程序中的传输中、使用中以及静态数据。Cloudflare One 会检查文件和 HTTPS 流量中是否存在敏感数据，并让客户能够配置允许或阻止策略。Cloudflare One 还集成了远程浏览器隔离 (RBI) 以实施更多 DLP 功能，例如限制下载和上传、键盘输入，以及打印。详细了解 Cloudflare One。