Overview - Apex One Data Loss Prevention
Se puede implementar el control de activos digitales en Apex One server en su versión On-Premise y puede ser colaborado por Apex Central para una configuración más cómoda, asimismo, en su versión Apex One SaaS se podrá configurar únicamente desde Apex Central.
El agente de seguridad es responsable del monitoreo y detección de activos digitales en el Endpoint. El Agente de DLP se comunica con Apex One Server y adquiere la definición de activos digitales, plantillas de cumplimiento, políticas de la empresa, tareas de descubrimiento de datos y otras configuraciones. Con estas definiciones, el agente puede monitorear y proteger los activos digitales en el Endpoint. Si se detecta información confidencial, realiza las acciones especificadas en las políticas y notifica al servidor sobre la infracción.
Control De Activos Digitales
Los activos digitales son datos y archivos que una organización debe proteger contra la transmisión no autorizada.
Ejemplos de activos digitales son:
• Documentos confidenciales
• Información privada de los clientes
Para implementaciones de DLP el cliente deberá tener previamente definido lo que consideran como data sensible o confidencial para su organización.
DLP Data Identifiers
Los administradores en la consola web de Apex Central pueden definir los activos digitales a través de:
• Expressions
• File Attributes
• Keyword Lists
Expressions
Las expresiones definen datos que tienen una determinada estructura. Por ejemplo, números de tarjetas de crédito que normalmente tienen 16 dígitos y aparecen en el formato xxxx-xxxx-xxxx-xxxx. Otras expresiones pueden ser números SWIFT o IBAN, números de seguridad social (por país), direcciones de correo electrónico, códigos, etc. Los administradores pueden utilizar expresiones predefinidas y personalizadas. La prevención de pérdida de datos verifica estas expresiones mediante la coincidencia de patrones y ecuaciones matemáticas.
File Attributes
Los File Attributes son propiedades de archivo como el tipo de archivo y el tamaño de archivo. Por sí mismos, los File Attributes son identificadores deficientes de archivos confidenciales, pero combinando File Attributes con otros datos de Prevención de pérdida de datos Los identificadores pueden resultar en una detección más específica de archivos sensibles.
Keyword Lists
las keyword lists incluyen palabras o frases especiales. Se puede agregar palabras clave relacionadas para identificar tipos específicos de datos. Por ejemplo, pronóstico, tipo de sangre, vacunación y médico. son palabras clave que pueden aparecer en un certificado médico. Si desea evitar la transmisión de archivos de certificados médicos, puede utilizar estas palabras clave en una política de DLP y luego, configurar la acción para bloquear archivos que contengan estas palabras clave. Contiene una condición que requiere que un cierto número de palabras clave esté presente en un documento antes de que la lista provoque una infracción. La condición de número de palabras clave contiene los siguientes valores:
• All: todas las palabras clave de la lista deben estar presentes en el documento.
• Any: cualquiera de las palabras clave de la lista debe estar presente en el documento.
• Specific number: debe haber al menos el número especificado de palabras clave en el documento. Si hay más palabras clave en el documento que el número especificado, DLP desencadena una infracción.
DLP Templates
Una política de DLP contiene una o más plantillas. Dicha plantilla combina identificadores de datos y operadores lógicos (Y, O, Except) para formar declaraciones de condición. Solamente los archivos o datos que cumplan una determinada condición estarán sujetos a la política de DLP.
Por ejemplo, un archivo debe ser un archivo de Microsoft Word (file attribute) AND debe contener ciertos términos legales (keywords) AND debe contener números de identificación (expressions) para que esté sujeto a la política de contratos. Esta política permite al personal de Recursos Humanos transmitir el archivo a través de la impresión, para que la copia impresa pueda ser firmada por un empleado, la transmisión a través de todos los demás posibles canales, como el correo electrónico, están bloqueados.
Data Loss Prevention viene con el siguiente conjunto de plantillas predefinidas que puede utilizar para cumplir con varios estándares regulatorios, por ejemplo:
• GLBA: Ley Gramm-Leach-Billey
• HIPAA: Ley de responsabilidad y portabilidad de seguros médicos
• PCI-DSS: Estándar de seguridad de datos de la industria de tarjetas de pago
• SB-1386: Proyecto de ley 1386 del Senado de EE. UU.
• PII de EE. UU.: Información de identificación personal de los Estados Unidos
También se pueden crear sus propias plantillas si se ha configurado data identifiers. Una plantilla combina identificadores de datos y operadores lógicos (And, Or, Except) para formar declaraciones de condición.
POLÍTICAS DE DLP
Los administradores pueden configurar políticas para agentes de seguridad internos y externos. Típicamente, la política que está configurada para agentes externos es más estricta. Las políticas se pueden aplicar para grupos de agentes específicos o agentes individuales, tal como una política de “Apex One Security Agent”.
Las políticas se crean configurando y seleccionando lo siguiente:
• Template: combina expresiones de datos, palabras clave y atributos de archivo (como se describió anteriormente).
• Canal: los canales son medios que transmiten la información confidencial. DLP admite canales de transmisión como correo electrónico, FTP, HTTP / S, aplicaciones de mensajería instantánea, SMB protocolo y correo web, entre otros.
• Acción: Data Loss Prevention realiza una o varias acciones cuando detecta un intento de transmitir información sensible a través de cualquiera de los canales. Se pueden realizar diferentes acciones cuando hay una coincidencia, como bloquear el archivo o registrar el evento, adicionalmente, se puede configurar para mostrar un mensaje de notificación al usuario o grabar los datos (hace una copia del archivo para fines forenses / de auditoría).
Pasos para la configuración
- Dirigase a Policies > Policy Management.
- Asegurese de seleccionar "Apex One Data Loss Prevention" como producto.
- De clic en Create.
1. Colocar un nombre a la política y definir los equipos a los que aplicará.
2. Habilitar Data Loss Prevention y añadir una política.
3. Agregar una plantilla que aplique a la política.
4. Seleccionar los canales que se desean monitorear.
Por defecto el Alcance de transmisión para agentes externos esta seleccionado en "All Transmissions" debido a que de esta manera Apex One monitorea los datos transmitidos fuera de la computadora HOST.
5. Seleccionar la acción que aplicará la política.
6. Clic <Save> y desplegar.
Cuando "USER JUSTIFICATION" está habilitado el usuario podrá transferir el archivo, aunque la acción establecida sea bloquear, pero, deben seleccionar una de las razones enumeradas para poder completar la operación.
Si desea mayor información y/o apoyo con el despliegue de dicha política puede solicitarlo a través de nuestro portal creando un Ticket de soporte, en donde nuestros agentes lo atenderán con la brevedad posible.
Referencia.
Trend Micro Education. (2019) Trend Micro Apex One [Ebook] [Consulta: 2021, septiembre 16]