¿Qué es la coincidencia exacta de datos (EDM)?

¿Qué es EDM en ciberseguridad?

El propósito de EDM, al igual que el de DLP, es proteger datos confidenciales, como información de identificación personal (PII), de la exposición a Internet. Proteger dicha información se vuelve más difícil a medida que las organizaciones adoptan servicios en la nube, donde la gestión de funciones de seguridad como permisos, seguridad de terminales y corrección aumentan el riesgo de una organización de sufrir una configuración incorrecta, la principal causa de infracciones de datos en la nube.

La coincidencia exacta de datos es un método de clasificación de datos que constituye un elemento fundamental de DLP. Normalmente, los sistemas de DLP utilizan la comparación de patrones para identificar los datos que deben protegerse. Un sistema DLP supervisará datos tales como números de tarjetas de crédito, números de cuenta, números de seguridad social, etc., dependiendo de los tipos de registros que el administrador seleccione para la protección y las políticas asociadas a estos.

EDM ayuda a que estos valores se mantengan protegidos de forma exacta en lugar de tangencial, lo que significa que el valor en sí tiene su propio protocolo de seguridad en lugar de que un grupo de valores se trate como uno solo. Este esquema ayudará a los equipos de seguridad a reducir la cantidad de falsos positivos (o notificaciones innecesarias) que reciben.

¿Cómo funciona la coincidencia exacta de datos?

EDM identifica las "huellas dactilares" de los datos confidenciales procedentes de fuentes estructuradas, como bases de datos u hojas de cálculo, y luego observa si se intenta trasladar dichos datos identificados e impide que se compartan o transfieran de forma inapropiada. Si una sola transacción parece sospechosa, el DLP asociado a EDM cerrará el acceso a todas las entradas de ese tipo de información confidencial personalizada, como un número de tarjeta de crédito.

Comienza con un texto plano procedente de una base de datos o de una hoja de cálculo de Excel que contenga los registros confidenciales. Estos datos en estos registros se ofuscan, generalmente mediante hash (es decir, las cadenas de datos se acortan y cifran algorítmicamente) y luego se almacenan dentro de la solución DLP. Los mismos algoritmos se aplican a todo el tráfico saliente. Así, cuando el tráfico sometido a hashing coincide con los hashes almacenados, se bloquea la transferencia o se activa una alerta.

¿Por qué es importante la EDM?

Pongamos el ejemplo de un número de tarjeta de crédito: el simple hecho de supervisar el tráfico en busca de números de tarjetas de crédito puede activar alertas cada vez que alguien de la organización utilice una tarjeta de crédito por cualquier motivo. Es decir, si un empleado hace una compra en línea durante un descanso, es posible que se bloquee el hacer la compra y que el administrador de seguridad reciba una alerta.

En ese caso, la alerta sería un "falso positivo", llamado así porque el sistema ha detectado con precisión un intento de enviar datos de tarjeta de crédito, pero la actividad no ha supuesto ningún riesgo para la organización. Con EDM, únicamente los números de tarjeta de crédito específicos almacenados por la empresa en sus bases de datos (como los de sus clientes o socios) activarían las alertas. Un empleado que realiza una compra no activaría una alerta, ni tampoco un contable que paga facturas.

Cabe aclarar que la mayoría de los falsos positivos son positivos reales, es decir, que el motor de detección hizo su trabajo e identificó contenidos que coinciden con una política. Sin embargo, el contenido no supone un riesgo para la empresa en el contexto en que se utiliza. Los falsos positivos tienen consecuencias: no causan daño directo, pero bloquean el sistema. Dado que el administrador tiene que eliminar cientos de falsos positivos cada semana, o quizás más, tiene menos tiempo para investigar las alertas legítimas.

Ventajas de EDM

DLP ya implementa protocolos para ayudar a las organizaciones a mantener sus datos seguros, pero la coincidencia exacta de datos permite a las organizaciones detectar y proteger valores de datos específicos. Sin embargo, cuando se trata de seleccionar una plataforma de calidad, debe tener en cuenta ciertas características. Algunas de las ventajas de una plataforma EDM eficaz incluyen:

Inspección y cumplimiento en línea

Un DLP distribuido en la nube con EDM puede inspeccionar todo el tráfico de red en línea, tanto si los usuarios están dentro como fuera de la red, lo que aumenta la precisión en la detección de incidentes de pérdida de datos y elimina casi por completo los falsos positivos. EDM con inspección SSL nativa y aplicación de políticas protege todo el tráfico de aplicaciones y usuarios, lo que proporciona mayor seguridad y mayor visibilidad.

Capacidad de la nube

Al aprovechar la escalabilidad de la nube, los clientes pueden identificar y comparar hasta mil millones de celdas de datos en cualquier momento. Intentar implementar una solución de este tipo en las instalaciones sólo producirá limitaciones de rendimiento debido a la naturaleza intensiva en recursos de la tecnología.

Control granular de políticas

Con EDM y políticas altamente personalizables, un DLP nativo de la nube puede detectar y detener la transferencia de tokens exactos pertenecientes a un registro particular a partes o servicios no autorizados. Esta técnica elimina los falsos positivos, mejorando tanto la postura de seguridad como la productividad del administrador.

Está claro que EDM puede soportar una variedad de casos de uso de DLP, pero únicamente un proveedor de DLP nació en la nube y tiene la capacidad de proteger a los usuarios donde sea que estén, independientemente de los dispositivos que usen, con principios de zero trust. Ese proveedor es Zscaler.

Coincidencia exacta de datos y DLP de Zscaler

No debe confundirse con Exact Data Match de Microsoft. Zscaler Exact Data Match requiere un uso intensivo de almacenamiento y procesamiento, y una plataforma altamente escalable que pueda adaptarse a sus demandas de procesamiento.

Debido a que Zscaler Cloud DLP con EDM está construido sobre una arquitectura de nube global y multiusuario, detecta y bloquea los intentos de enviar datos protegidos sin importar dónde se conecte el usuario o qué aplicaciones se estén utilizando. No hay impacto en la conectividad ni en el rendimiento debido a la gran presencia global de Zscaler (más de 150 PoP) y el portal de administración centralizado de Zscaler brinda visibilidad en tiempo real de los incidentes.

La mayoría de los sistemas DLP no pueden inspeccionar el tráfico cifrado, por lo que no ven la mayor parte del tráfico empresarial. Pero Zscaler Cloud DLP es parte de la plataforma integrada Zscaler Zero Trust Exchange™, que inspecciona todo el tráfico, incluido el tráfico cifrado. Zscaler es el único proveedor de servicios de seguridad que ofrece dicha funcionalidad como un servicio distribuido en la nube.

Con Zscaler EDM, puede identificar y hacer coincidir miles de millones de celdas de sus datos confidenciales únicos, almacenar esas huellas en la nube de Zscaler y detener la pérdida de datos a nivel global y a escala. Zscaler también le ayuda a maximizar la protección de su información a medida que cumple con los mandatos de la industria, como HIPAA para datos de asistencia sanitaria y registros médicos, así como regulaciones de privacidad de datos como el RGPD.

Cloud DLP simplifica el cumplimiento de las normativas regionales, gracias a un amplio conjunto de funciones, como EDM, el aprendizaje automático, el control de tipos de archivos y las políticas granulares que acompañan a los usuarios. También puede ayudar a mejorar su postura de seguridad, reducir la frustración del usuario final derivada de transacciones bloqueadas innecesariamente y dar a sus equipos tiempo para investigar y abordar incidentes reales de pérdida de datos en lugar de hurgar en el pajar de falsos positivos.