Cos'è l'EDM (Exact Data Match)?

Che cosa è l'EDM nell'ambito della sicurezza informatica?

Lo scopo dell'EDM, come della DLP, è quello di proteggere i dati sensibili, come le informazioni personali, dall'esposizione a Internet. Questo compito si fa più difficile quando le organizzazioni adottano servizi cloud, dove le funzioni per la gestione della sicurezza, come autorizzazioni, sicurezza degli endpoint e ripristino, intensificano il rischio di errori di configurazione, che rappresentano la principale causa di violazioni dei dati sul cloud.

L'EDM è un metodo di classificazione dei dati, che è un elemento fondante della DLP. In genere, i sistemi di DLP utilizzano la corrispondenza dei pattern per identificare i dati da proteggere. Un sistema di DLP monitora dati come numeri di carte di credito, numeri di conto, numeri di previdenza sociale (SSN) e così via, a seconda dei tipi di record da proteggere selezionati dall'amministratore e delle policy a essi associate.

L'EDM fa sì che questi valori vengano protetti in modo preciso e mirato anziché approssimativo, assegnando a ciascun dato un proprio protocollo di sicurezza, invece di trattare un intero gruppo di valori come un unico insieme. Questo schema aiuta i team responsabili della sicurezza a ridurre la quantità di falsi positivi o di notifiche non necessarie.

Come funziona l'Exact Data Match?

L'EDM crea "impronte digitali" per i dati sensibili provenienti da fonti di dati strutturate, come database o fogli di calcolo, quindi controlla i tentativi di spostamento dei dati con impronte digitali e ne impedisce la condivisione o il trasferimento inappropriato. Se anche una sola transazione appare sospetta, la DLP associata all'EDM impedirà l'accesso a tutte le voci di quel tipo di informazione sensibile personalizzata, come ad esempio un numero di carta di credito.

L'EDM parte con un testo normale da un database o foglio di calcolo che contiene i record sensibili. I dati contenuti in questi record vengono offuscati, solitamente tramite hashing (in cui le stringhe di dati vengono abbreviate e cifrate tramite algoritmi), quindi archiviati nella soluzione di DLP. Gli stessi algoritmi vengono quindi applicati a tutto il traffico in uscita. In questo modo, quando il traffico con hash corrisponde agli hash memorizzati, il trasferimento viene bloccato, oppure viene generato un avviso.

Perché l'EDM è importante?

Facciamo l'esempio di un numero di carta di credito: il semplice monitoraggio del traffico dei numeri di carta di credito può attivare avvisi ogni volta che qualcuno nell'organizzazione utilizza una carta di credito per un qualsiasi motivo. In questo scenario, l'acquisto online di un dipendente effettuato durante una pausa potrebbe non andare a buon fine, e l'amministratore della sicurezza riceverebbe un avviso.

In questo caso, l'avviso sarebbe un "falso positivo", così chiamato perché il sistema rileva con precisione un tentativo di invio dei dati della carta di credito, ma l'attività non rappresenta alcun rischio per l'organizzazione. Con l'EDM, solo i numeri di carta di credito specifici che un'azienda memorizza nei propri database, ad esempio quelli appartenenti ai propri clienti o partner, attiverebbero degli avvisi. Quindi, se un dipendente effettua un acquisto o un contabile paga delle fatture, non partirà alcuna segnalazione.

Per chiarire, la maggior parte dei falsi positivi sono veri positivi, in cui il motore di rilevamento ha svolto il suo lavoro e identificato contenuti che corrispondono a una policy. Tuttavia, il contenuto non rappresenta un rischio per l'azienda nel contesto in cui viene utilizzato. I falsi positivi hanno delle conseguenze: non causano danni diretti, ma intasano il sistema. Dato che l'amministratore deve eliminare centinaia di falsi positivi ogni settimana, e forse anche di più, ha meno tempo per indagare sugli avvisi legittimi.

Vantaggi dell'EDM

La DLP mette già in atto alcuni protocolli per aiutare le organizzazioni a proteggere i propri dati, ma l'EDM consente di rilevare e proteggere valori specifici. Tuttavia, per scegliere una piattaforma di qualità, è opportuno prestare attenzione ad alcune caratteristiche. Alcuni dei vantaggi di una piattaforma di EDM efficace includono:

Ispezione e applicazione inline

Una DLP con EDM fornita attraverso il cloud è in grado di ispezionare tutto il traffico di rete inline, indipendentemente dal fatto che gli utenti siano connessi o meno alla rete, aumentando la precisione del rilevamento degli incidenti che possono comportare la perdita dei dati ed eliminando quasi completamente i falsi positivi. L'EDM con ispezione SSL e applicazione delle policy native consente di proteggere tutto il traffico delle applicazioni e degli utenti, garantendo maggiori livelli di sicurezza e visibilità.

Capacità del cloud

Grazie alla scalabilità del cloud, i clienti riescono a rilevare e assegnare impronte digitali e a confrontare fino a un miliardo di celle di dati in qualsiasi momento. Cercare di implementare una soluzione del genere in locale comporterebbe inevitabili limitazioni prestazionali dovute all'intenso carico computazionale richiesto da questa tecnologia.

Controllo granulare delle policy

Grazie all'EDM e a policy altamente personalizzabili, una soluzione di DLP nativa del cloud è in grado di rilevare e interrompere il trasferimento di token esatti appartenenti a un particolare record verso entità o servizi non autorizzati. Questa tecnica elimina i falsi positivi, contribuendo a migliorare sia la sicurezza sia la produttività degli amministratori.

È chiaro che l'EDM può supportare una varietà di casi d'uso di DLP, ma solo un fornitore di soluzioni di DLP è nato sul cloud ed è in grado di proteggere gli utenti in tutte le posizioni e su qualsiasi dispositivo applicando i principi dello zero trust. Si tratta di Zscaler.

EDM e Zscaler DLP

Da non confondere con l'Exact Data Match di Microsoft, Zscaler Exact Data Match è un'operazione che ha requisiti elevati in termini di archiviazione ed elaborazione e che richiede una piattaforma altamente scalabile, in grado di soddisfare tali esigenze di elaborazione.

Dato che Zscaler Cloud DLP con EDM è una soluzione basata su un'architettura cloud globale e multitenant, è in grado di rilevare e bloccare i tentativi di invio di dati protetti, indipendentemente dalla posizione dell'utente e dalle app utilizzate. Grazie all'ampia presenza globale di Zscaler (con oltre 150 PoP) non vi è alcun impatto sulla connettività o sulle prestazioni; inoltre, il portale di amministrazione centralizzato di Zscaler fornisce una visibilità in tempo reale sugli incidenti.

La maggior parte dei sistemi di DLP non è in grado di ispezionare il traffico cifrato e, di conseguenza, la maggior parte del traffico aziendale non viene ispezionata. Zscaler Cloud DLP fa invece parte della piattaforma integrata Zscaler Zero Trust Exchange™, che ispeziona tutto il traffico, incluso quello cifrato. Zscaler è l'unico fornitore di servizi di sicurezza che fornisce tale funzionalità come servizio dal cloud.

Con Zscaler EDM puoi rilevare e assegnare impronte digitali e confrontare miliardi di celle dei tuoi dati sensibili univoci, archiviare tali impronte digitali sul cloud Zscaler e bloccare la perdita dei dati a livello globale e su larga scala. Zscaler ti aiuta inoltre a massimizzare la protezione delle informazioni per ottemperare a normative di settore come l'HIPAA, per i dati sanitari e le cartelle cliniche, o l'RGPD, per la privacy dei dati.

Grazie a un ampio set di funzionalità, tra cui EDM, machine learning, controllo del tipo di file e policy granulari di DLP che seguono l'utente, Zscaler Cloud DLP semplifica la conformità alle normative regionali. Può inoltre contribuire a migliorare il profilo di sicurezza, ridurre la frustrazione degli utenti finali derivante da transazioni bloccate inutilmente, e restituire ai team più tempo per indagare sugli incidenti reali che possono comportare la perdita dei dati e risolverli, anziché gestire una moltitudine di falsi positivi.